Этот документ содержит руководство по эффективности средств редактирования в Adobe Acrobat Pro DC 2017 и предназначен для специалистов по информационным технологиям и информационной безопасности в организациях, которые хотят редактировать конфиденциальную или личную информацию из PDF-документов, прежде чем передавать их в общественное достояние или другим третьим лицам.
Для целей этого документа определение успешного редактирования заключалось в полном удалении отредактированных данных из каждого места в файловой структуре PDF-документа.
В рамках тестирования был рассмотрен ряд тестовых примеров, которые представляли некоторые из различных способов хранения информации в документе PDF. Это включало:
PDF-документы были созданы с использованием каждого из следующих механизмов рендеринга:
В целях тестирования приложение, используемое для создания документов PDF, относится к механизму визуализации, который выполнял преобразование PDF. Например, при использовании надстройки Microsoft Word «Создать PDF», установленной Adobe Acrobat, преобразование PDF выполняется с помощью механизма визуализации Adobe Acrobat (библиотека Adobe PDF). Аналогичным образом, при печати на принтере Adobe PDF, установленном Adobe Acrobat в Microsoft Word, преобразование файла выполняется механизмом визуализации Adobe Acrobat Distiller. Только выбор сохранения файла путем выбора опции PDF «Сохранить как» в Microsoft Word приводит к тому, что PDF-файл отображается в Microsoft Word.
Предыдущее тестирование, проведенное DSD в 2011 году, использовало единый механизм визуализации для создания PDF-документов. В текущем раунде тестирования PDF-документы с использованием различных механизмов рендеринга использовались, чтобы определить, влияет ли источник PDF-документа на успешное редактирование.
В зависимости от используемых механизмов рендеринга документы PDF были созданы с использованием различных версий стандарта PDF:
Остатки отредактированной информации располагались внутри объектов, содержащих карты встроенных шрифтов (объекты CMap) [7]. Возможность восстанавливать эти остатки данных была результатом различий в механизмах, используемых CutePDF и LibreOffice Writer для встраивания карт шрифтов, и неспособности функции редактирования Adobe Acrobat идентифицировать и удалять их. Функция очистки Adobe Acrobat также не смогла удалить эти остатки данных.
Неизвестно, не удастся ли успешно отредактировать PDF-документы, созданные механизмами рендеринга, не протестированными в ходе этого цикла тестирования. Пока это не известно, гарантия того, что остатки данных не могут быть восстановлены из отредактированных документов PDF, требует, чтобы создание документов PDF было ограничено Adobe Acrobat, Adobe Acrobat Distiller и Microsoft Word.
Чтобы помочь идентифицировать программное обеспечение, используемое для создания PDF-документа, метаданные можно проверить через свойства документа в Adobe Acrobat или Adobe Acrobat Reader. Если документ PDF был создан с помощью Adobe Acrobat, Adobe Acrobat Distiller или Microsoft Word, поле PDF Producer будет содержать «Adobe PDF Library», «Acrobat Distiller» или «Microsoft Word» соответственно. Если поле PDF Producer содержит что-то еще, есть вероятность, что редактирование конфиденциальной или частной информации может не удастся. Обратите внимание: если бы документ PDF был ранее очищен, метаданные были бы удалены, а поле «Производитель PDF» будет пустым. В этих случаях его следует рассматривать так, как если бы он был создан механизмом визуализации, который не может быть успешно отредактирован Adobe Acrobat.
Последний стандарт PDF (ISO 32000-2: 2017) доступен для покупки в Международной организации по стандартизации (ISO) по адресу https://www.iso.org/standard/63534.html .
Был создан документ Microsoft Word, содержащий заголовок и три строки текста. Последние две строки представляют конфиденциальную информацию.
Соответствующий документ PDF был создан с использованием каждого из исследуемых механизмов рендеринга: Adobe Acrobat, Adobe Acrobat Distiller, Microsoft Word, CutePDF и LibreOffice Writer. Это представляло пять PDF-документов.
Внутренняя структура документов PDF была проанализирована с помощью инструмента PDF Stream Dumper. Для каждого PDF-документа были идентифицированы объекты в файловых структурах, содержащие внедренный текст. Например, встроенный текстовый объект из файла, созданного с помощью Adobe Acrobat, показан ниже со встроенным текстом, выделенным зеленым цветом.
Исследование встроенных структурных объектов в каждом PDF-документе показало, что все механизмы рендеринга используют подмножества шрифтов для уменьшения размера файла. Однако, что касается отображения кодов символов на селекторы символов (глифы), разные движки использовали альтернативные механизмы.
Microsoft Word не встраивал CMap, а вместо этого использовал предопределенное WinAnsiEncoding. Adobe Acrobat Distiller встроил CMap только для сопоставления одного символа, а для остальных символов использовался предопределенный WinAnsiEncoding.
Adobe Acrobat встроил пользовательский файл ToUnicode CMap в документ PDF [8]. Порядок сопоставлений в CMap отражает это в Unicode.
Напротив, PDF-документы, созданные с помощью CutePDF (с использованием Ghostscript с открытым исходным кодом) или LibreOffice Writer с открытым исходным кодом, оба встроены в объекты ToUnicode CMap, где порядок сопоставлений отражает порядок, в котором символы впервые появляются в тексте. Показан объект CMap из первого.
Помимо облегчения сопоставления кодов символов с селекторами символов, CMap создал артефакт, в котором порядок сопоставлений сам кодировал текстовую строку. Строка содержала пароль от документа PDF, который выделен красным ниже.
Тестовый PDFilhdanvcbmurw: @ 3946 $ (%)
Затем были отредактированы две нижние строки текста из каждого документа PDF с помощью Adobe Acrobat.
Внутренняя структура отредактированных PDF-документов была проанализирована с помощью инструмента PDF Stream Dumper. Во всех случаях отредактированный текст был успешно удален из встроенных текстовых объектов PDF. Например, объект из документа PDF, созданного Adobe Acrobat, показан ниже со встроенным текстом, выделенным зеленым цветом.
Однако проверка объектов CMap в отредактированных PDF-документах, созданных CutePDF или LibreOffice Writer, показала, что остатки отредактированного текста остались. Например, объект CMap из отредактированного PDF-документа, созданного с помощью LibreOffice Writer, показан ниже с артефактом данных, который показывает строку пароля, показанную красным.
Похоже, что функция редактирования Adobe Acrobat не обнаруживает артефакты отредактированного текста в объектах CMap, когда документ PDF был создан CutePDF или LibreOffice Writer. В этом тестовом примере отредактированный пароль можно было полностью восстановить.
Представление текста из документа PDF в тесте 1 было скопировано в файл изображения. Файл изображения, в свою очередь, использовался для создания пяти отдельных PDF-документов с механизмами рендеринга, использованными в Тесте 1.
Каждый PDF-документ был проанализирован с помощью инструмента pdf2txt, который извлекает встроенный текст. Во всех случаях извлекаемый текст обнаружен не был. Это был ожидаемый результат, учитывая, что весь текст был представлен во встроенном изображении. Например, результат запуска инструмента pdf2txt для PDF-документа, созданного Adobe Acrobat, показан ниже. Чтобы проверить этот результат, каждый документ PDF также был проанализирован с помощью инструмента PDF Stream Dumper.
Инструмент pdfimages, который может обнаруживать и анализировать встроенные изображения, был запущен для документов PDF. Инструмент успешно идентифицировал встроенные изображения. Результат работы инструмента при работе с PDF-документом, созданным Adobe Acrobat, показан ниже.
Чтобы проверить функциональность редактирования, последние две строки документов PDF (представляющие конфиденциальную информацию) были отредактированы с помощью Adobe Acrobat. Отредактированные документы PDF были снова проанализированы с помощью инструмента pdfimages, который показал, что встроенный файл изображения изменился в размере. Например, файл изображения в отредактированном PDF-документе, созданном с помощью Adobe Acrobat, уменьшился с 22,9 КБ до 21,1 КБ, что означает, что он был отредактирован в процессе редактирования.
Чтобы убедиться, что конфиденциальная информация во встроенном файле изображения была успешно отредактирована, встроенное изображение было извлечено из документов PDF с помощью инструмента pdfimages и изучено. Например, файл встроенного изображения из документа PDF, созданного с помощью Adobe Acrobat, показан ниже. Он был отредактирован в процессе редактирования, чтобы удалить конфиденциальную информацию.
Документы PDF из теста 1 были открыты в Adobe Acrobat. В каждом случае одна из строк, представляющих конфиденциальный текст, редактировалась несколько раз, чтобы каждое изменение было сохранено.
Затем PDF-документы были проанализированы с помощью инструмента pdfwalker, и исправления PDF-документов были отражены в файловых структурах. Например, файл, созданный Adobe Acrobat, показан ниже.
Конфиденциальный текст был отредактирован с помощью Acrobat, а документы PDF были снова проанализированы с помощью инструмента pdfwalker. Результат работы инструмента pdfwalker показал, что предыдущие версии конфиденциального текста были удалены. Например, результат синтаксического анализа документа PDF, созданного Adobe Acrobat, показан ниже. Обратите внимание, что инструмент pdfwalker всегда имеет «Revision 1» как артефакт.
Этот результат был подтвержден с помощью инструмента PDF Stream Dumper для определения количества файловых объектов в отредактированных документах PDF. В случае PDF-документа, созданного с помощью Adobe Acrobat, количество файловых объектов было уменьшено со 105 до 18 до и после редактирования соответственно.
Использование инструмента PDF Stream Dumper для исследования встроенных текстовых объектов показало, что в каждом случае исторические изменения конфиденциального текста удалялись путем редактирования. Напротив, остатки данных в объектах CMap остались для документов PDF, созданных с помощью CutePDF или LibreOffice Writer, как было обнаружено в тесте 1.
Документы PDF были впоследствии проанализированы с помощью инструмента pdfwalker. Текст был найден в трех объектах, показанных ниже. Два объекта соответствуют каждому из двух полей формы. Третий объект с текстовыми данными соответствовал словарю формы.
Встроенный текст в разделах словаря формы показан ниже. Встроенный текст выделяется зеленым цветом.
Для первого теста оба поля формы в документе PDF были полностью отредактированы с помощью Adobe Acrobat.
Во втором тесте поля формы в PDF-документе были частично отредактированы с помощью Adobe Acrobat.
Отредактированные PDF-документы затем были проанализированы с помощью инструмента pdfwalker. В обоих случаях объекты формы были удалены, оставив только объект, который содержал словарь формы. Результат анализа частично отредактированного PDF-документа показан ниже.
Содержимое оставшихся объектов словаря форм было дополнительно проанализировано с помощью инструмента PDF Stream Dumper, и никаких остатков текста обнаружено не было. Например, содержимое словаря форм из частично отредактированного PDF-документа показано ниже.
Результат был таким же для документа PDF, где поля формы были полностью отредактированы.
Начиная с файла Microsoft Word, использованного в тесте 1, текст был скрыт путем вставки вышележащего файла изображения, как показано ниже. Затем был создан PDF-документ с использованием каждого из пяти механизмов рендеринга.
Используя инструмент pdf2txt, было установлено, что основной текст остался в документах PDF, несмотря на то, что он был скрыт вышележащим изображением. Например, результат работы инструмента pdf2txt для документа PDF, созданного с помощью CutePDF, показан ниже.
Это продемонстрировало, что скрытие информации в PDF-документе с помощью изображения не является эффективным способом редактирования информации.
Для всех предыдущих тестовых случаев результаты были аналогичными, и на них не повлиял запуск зашифрованного PDF-документа. Для PDF-документов, созданных с помощью CutePDF или LibreOffice Writer, как было обнаружено ранее, остатки отредактированного текста оставались в объектах ToUnicode CMap. Других остатков отредактированных данных обнаружено не было.
До очистки документы PDF содержали объекты со встроенными метаданными. Каждый PDF-документ был проанализирован с помощью инструмента PDF Stream Dumper и проанализированы метаданные. Метаданные из PDF-документа, созданного CutePDF, показаны ниже. Полезная информация выделена зеленым цветом и включает механизм визуализации (CutePDF или Ghostscript), программное обеспечение, используемое для доступа к механизму визуализации (Microsoft Word), и учетную запись пользователя автора (IEUser).
Метаданные также доступны из свойств документа PDF в программе чтения PDF-файлов. Метаданные из документа PDF, созданного CutePDF и прочитанного Adobe Acrobat Reader, показаны ниже.
Чтобы проверить эффективность функции очистки, документы PDF были обработаны и проанализированы с помощью инструмента pdfwalker. Во всех тестовых случаях при дезинфекции удалялся объект, содержащий метаданные. Например, ниже показана файловая структура документа PDF, созданного CutePDF до (слева) и после (справа) очистки. Указывается объект, содержащий метаданные.
Успешная очистка метаданных была также подтверждена проверкой свойств документа PDF с помощью Adobe Acrobat Reader, как показано ниже. Выделены пустые поля метаданных.
Этот тест также исследовал, повлияет ли дезинфекция PDF-документа на остатки данных CMap, выявленные в предыдущих тестах. PDF-документы, созданные с помощью CutePDF и LibreOffice Writer, были очищены, а полученные PDF-документы проанализированы с помощью инструмента PDF Stream Dumper. В обоих случаях это не повлияло на остатки CMap в отредактированных документах PDF.
Кроме того, этот тест также исследовал, приведет ли санация PDF-документа к удалению нескольких исторических версий текста, как это было показано ранее в тесте 3. Когда PDF-документы были очищены и проанализированы с помощью инструмента pdfwalker, стало очевидно, что исторические изменения текста были удалены. Структура очищенного PDF-документа показана ниже.
Adobe Acrobat, CutePDF и LibreOffice Writer - все встроенные настраиваемые объекты CMap. Adobe Acrobat не настраивал порядок кодирования символов для сопоставлений селектора символов, а вместо этого использовал порядок сопоставлений, как они отображаются в Unicode. Напротив, CutePDF, использующий Ghostscript с открытым исходным кодом, и LibreOffice Writer настроили порядок сопоставлений таким образом, чтобы он отражал порядок, в котором символы впервые появляются в тексте. Таким образом, порядок сопоставлений в объектах CMap создает механизм кодирования, из которого могут быть извлечены значимые данные.
В структурах данных CMap сопоставления создаются при первом появлении символа в контексте шрифта. CMap останется, если все символы определенного шрифта не будут удалены из документа PDF. Если останется один символ, останется CMap. Таким образом, если при редактировании удаляются все символы, отображаемые в CMap, можно ожидать, что CMap будет удален и редактирование будет успешным. Это еще предстоит проверить. В этом случае анализ только частично отредактировал текст, и объекты CMap остались на месте.
Документы PDF, созданные с помощью Adobe Acrobat, Adobe Acrobat Distiller или Microsoft Word, могут быть успешно отредактированы Adobe Acrobat. При синтаксическом анализе PDF-документов не удалось выявить остатки отредактированных данных. Это связано с тем, что эти механизмы визуализации либо не использовали встроенные объекты CMap, либо, если они использовали, порядок сопоставлений не отражал порядок, в котором символы впервые появлялись в тексте. Напротив, документы PDF, созданные с помощью CutePDF или LibreOffice Writer, не были успешно отредактированы. Анализ этих PDF-документов обнаружил остатки отредактированных данных в структурах данных CMap.
Остатки данных, обнаруженные в отредактированных PDF-документах, возникли в результате:
Если взаимосвязь между входными символами и порядком сопоставлений в CMap произвольна, это объясняет результаты в этом документе и означает, что пользовательские механизмы не запрещены какой-либо спецификацией. Это также может означать, что программное обеспечение редактирования должно отвечать за идентификацию и удаление артефактов отредактированных данных из объекта CMap. В связи с этим, профиль защиты расширенного пакета прикладного программного обеспечения для средств редактирования [12], опубликованная Национальным партнерством по обеспечению информационной безопасности (NIAP), неоднозначна. Для объекта оценки требуется удалить все ссылки и индикаторы в структурных данных на объекты, которые «полностью отредактированы». Если текст частично отредактирован для каждого шрифта, это может означать, что остатки данных в CMap будут разрешены. Профиль защиты не назначен ни одному программному продукту.
Поскольку объекты CMap создаются для каждого шрифта, вероятность восстановления остатков увеличивается по мере того, как отредактированный текст находится ближе к первому вхождению символа из определенного шрифта. Кроме того, во время тестирования было замечено, что сопоставления в CMaps были уникальными, хотя это не требуется. В результате, независимо от того, сколько предыдущего текста существует для каждого шрифта, вероятность восстановления остатков увеличивается, если отредактированный текст состоит из уникальных символов, встречающихся впервые. Вероятность восстановления остатков также увеличивается по мере уменьшения объема текста в документе PDF.
Эту уязвимость безопасности легко продемонстрировать в тестовой среде. Однако в реальных PDF-документах вероятность восстановления отредактированного текста из объектов CMap будет разной. Примеры из реального мира, которые могут быть уязвимы для извлечения остатков, могут включать:
В связи с вышеизложенным, для максимальной уверенности в том, что остатки отредактированных данных не останутся в PDF-документах, организации должны:
Введение
Имели место многочисленные случаи нарушений безопасности в результате неспособности эффективно отредактировать конфиденциальную или частную информацию из документов до публикации в открытом доступе [1] [2]. Чтобы помочь снизить этот риск безопасности, Adobe Acrobat Pro DC 2017 предоставляет функции редактирования и очистки, которые направлены на полное удаление нежелательной информации и другой скрытой информации (например, метаданных) из документов PDF.Объем тестирования
Управление сигналов обороны (DSD) ранее исследовало функцию редактирования в Adobe Acrobat Pro 10 в 2011 году, чтобы определить, можно ли восстановить какую-либо отредактированную информацию из документов PDF. Текущий раунд тестирования Австралийским центром кибербезопасности направлен на проверку тех же функций, которые ранее тестировались, но в Adobe Acrobat Pro DC 2017.Для целей этого документа определение успешного редактирования заключалось в полном удалении отредактированных данных из каждого места в файловой структуре PDF-документа.
В рамках тестирования был рассмотрен ряд тестовых примеров, которые представляли некоторые из различных способов хранения информации в документе PDF. Это включало:
- встроенный текст
- встроенное изображение
- данные исторического редактирования
- интерактивная форма
- встроенный текст скрыт встроенным изображением
- встроенный текст в зашифрованном PDF-файле
- встроенные метаданные.
- Adobe Acrobat Pro DC 2017 (2017.012.20093), который устанавливает Adobe PDF Library 15 и Adobe Acrobat Distiller 17
- Microsoft Word 2010 (14.0.6023.1)
- LibreOffice Writer 5.1.6.2
- CutePDF Writer 3.2, который устанавливает Ghostscript 8.15.
PDF-документы были созданы с использованием каждого из следующих механизмов рендеринга:
- Adobe Acrobat (с использованием надстройки Microsoft Word «Создать PDF» или собственной разработки PDF в Adobe Acrobat, оба из которых используют библиотеку Adobe PDF)
- Adobe Acrobat Distiller (печать на принтере Adobe PDF)
- Microsoft Word (с использованием функции PDF «Сохранить как»)
- CutePDF (Печать на принтер CutePDF Writer)
- LibreOffice Writer (с использованием функции «Экспорт в PDF»).
В целях тестирования приложение, используемое для создания документов PDF, относится к механизму визуализации, который выполнял преобразование PDF. Например, при использовании надстройки Microsoft Word «Создать PDF», установленной Adobe Acrobat, преобразование PDF выполняется с помощью механизма визуализации Adobe Acrobat (библиотека Adobe PDF). Аналогичным образом, при печати на принтере Adobe PDF, установленном Adobe Acrobat в Microsoft Word, преобразование файла выполняется механизмом визуализации Adobe Acrobat Distiller. Только выбор сохранения файла путем выбора опции PDF «Сохранить как» в Microsoft Word приводит к тому, что PDF-файл отображается в Microsoft Word.
Предыдущее тестирование, проведенное DSD в 2011 году, использовало единый механизм визуализации для создания PDF-документов. В текущем раунде тестирования PDF-документы с использованием различных механизмов рендеринга использовались, чтобы определить, влияет ли источник PDF-документа на успешное редактирование.
В зависимости от используемых механизмов рендеринга документы PDF были созданы с использованием различных версий стандарта PDF:
- Adobe Acrobat
- Adobe PDF Library (PDF версия 1.5)
- Adobe Acrobat Distiller (PDF версия 1.5)
- Microsoft Word (PDF версия 1.5)
- Симпатичный PDF (PDF версия 1.4)
- LibreOffice Writer (PDF версия 1.4).
- интерактивная форма (PDF версия 1.6)
- шифрование (PDF версия 1.6)
- дезинфекция (PDF версия 1.6)
- редакция (PDF версия 1.7).
- Инструментарий Pdfminer, написанный Юсуке Шиньяма (pdf2txt) [3]
- Набор инструментов Poppler (изображения в формате pdf) [4]
- Набор инструментов оригами (pdfwalker) [5]
- PDF Stream Dumper 9.3 Дэвида Циммера [6]
Результаты тестирования и рекомендации
Успешные результаты редактирования
Отредактированная информация не была восстановлена из PDF-документов, созданных с помощью Adobe Acrobat, Adobe Acrobat Distiller и Microsoft Word. Этот результат аналогичен результатам предыдущего тестирования, проведенного DSD в 2011 году, в ходе которого проверялась функциональность редактирования в Adobe Acrobat Pro 10.Сбои при редактировании информации
Остатки отредактированной информации были восстановлены из PDF-документов, созданных с помощью CutePDF и LibreOffice Writer.Остатки отредактированной информации располагались внутри объектов, содержащих карты встроенных шрифтов (объекты CMap) [7]. Возможность восстанавливать эти остатки данных была результатом различий в механизмах, используемых CutePDF и LibreOffice Writer для встраивания карт шрифтов, и неспособности функции редактирования Adobe Acrobat идентифицировать и удалять их. Функция очистки Adobe Acrobat также не смогла удалить эти остатки данных.
Неизвестно, не удастся ли успешно отредактировать PDF-документы, созданные механизмами рендеринга, не протестированными в ходе этого цикла тестирования. Пока это не известно, гарантия того, что остатки данных не могут быть восстановлены из отредактированных документов PDF, требует, чтобы создание документов PDF было ограничено Adobe Acrobat, Adobe Acrobat Distiller и Microsoft Word.
Чтобы помочь идентифицировать программное обеспечение, используемое для создания PDF-документа, метаданные можно проверить через свойства документа в Adobe Acrobat или Adobe Acrobat Reader. Если документ PDF был создан с помощью Adobe Acrobat, Adobe Acrobat Distiller или Microsoft Word, поле PDF Producer будет содержать «Adobe PDF Library», «Acrobat Distiller» или «Microsoft Word» соответственно. Если поле PDF Producer содержит что-то еще, есть вероятность, что редактирование конфиденциальной или частной информации может не удастся. Обратите внимание: если бы документ PDF был ранее очищен, метаданные были бы удалены, а поле «Производитель PDF» будет пустым. В этих случаях его следует рассматривать так, как если бы он был создан механизмом визуализации, который не может быть успешно отредактирован Adobe Acrobat.
Подробные результаты тестирования
Для полной разбивки и обсуждения результатов тестирования см. Приложения A и B соответственно.Рекомендации
Если существует требование отредактировать конфиденциальную или личную информацию из PDF-документов перед их передачей в общественное достояние или другим третьим лицам, организациям следует:- убедитесь, что исходный документ PDF был создан с помощью Adobe Acrobat, Adobe Acrobat Distiller или Microsoft Word, проверив метаданные документа PDF
- выполнять редактирование и дезинфекцию документа с помощью Adobe Acrobat Pro DC 2017.
Дальнейшая информация
Руководство по редактированию конфиденциальной информации из PDF-документов, включая пошаговые инструкции, доступно в Adobe по адресу https://helpx.adobe.com/acrobat/using/removing-sensitive-content-pdfs.html .Последний стандарт PDF (ISO 32000-2: 2017) доступен для покупки в Международной организации по стандартизации (ISO) по адресу https://www.iso.org/standard/63534.html .
Приложение A: Подробные результаты тестирования
Тест 1: Редактирование встроенного текста
Целью теста 1 было определить, можно ли найти остатки отредактированного текста в PDF-документах, отредактированных с помощью Adobe Acrobat Pro DC 2017.Был создан документ Microsoft Word, содержащий заголовок и три строки текста. Последние две строки представляют конфиденциальную информацию.
Соответствующий документ PDF был создан с использованием каждого из исследуемых механизмов рендеринга: Adobe Acrobat, Adobe Acrobat Distiller, Microsoft Word, CutePDF и LibreOffice Writer. Это представляло пять PDF-документов.
Внутренняя структура документов PDF была проанализирована с помощью инструмента PDF Stream Dumper. Для каждого PDF-документа были идентифицированы объекты в файловых структурах, содержащие внедренный текст. Например, встроенный текстовый объект из файла, созданного с помощью Adobe Acrobat, показан ниже со встроенным текстом, выделенным зеленым цветом.
Исследование встроенных структурных объектов в каждом PDF-документе показало, что все механизмы рендеринга используют подмножества шрифтов для уменьшения размера файла. Однако, что касается отображения кодов символов на селекторы символов (глифы), разные движки использовали альтернативные механизмы.
Microsoft Word не встраивал CMap, а вместо этого использовал предопределенное WinAnsiEncoding. Adobe Acrobat Distiller встроил CMap только для сопоставления одного символа, а для остальных символов использовался предопределенный WinAnsiEncoding.
Adobe Acrobat встроил пользовательский файл ToUnicode CMap в документ PDF [8]. Порядок сопоставлений в CMap отражает это в Unicode.
Напротив, PDF-документы, созданные с помощью CutePDF (с использованием Ghostscript с открытым исходным кодом) или LibreOffice Writer с открытым исходным кодом, оба встроены в объекты ToUnicode CMap, где порядок сопоставлений отражает порядок, в котором символы впервые появляются в тексте. Показан объект CMap из первого.
Помимо облегчения сопоставления кодов символов с селекторами символов, CMap создал артефакт, в котором порядок сопоставлений сам кодировал текстовую строку. Строка содержала пароль от документа PDF, который выделен красным ниже.
Тестовый PDFilhdanvcbmurw: @ 3946 $ (%)
Затем были отредактированы две нижние строки текста из каждого документа PDF с помощью Adobe Acrobat.
Внутренняя структура отредактированных PDF-документов была проанализирована с помощью инструмента PDF Stream Dumper. Во всех случаях отредактированный текст был успешно удален из встроенных текстовых объектов PDF. Например, объект из документа PDF, созданного Adobe Acrobat, показан ниже со встроенным текстом, выделенным зеленым цветом.
Однако проверка объектов CMap в отредактированных PDF-документах, созданных CutePDF или LibreOffice Writer, показала, что остатки отредактированного текста остались. Например, объект CMap из отредактированного PDF-документа, созданного с помощью LibreOffice Writer, показан ниже с артефактом данных, который показывает строку пароля, показанную красным.
Похоже, что функция редактирования Adobe Acrobat не обнаруживает артефакты отредактированного текста в объектах CMap, когда документ PDF был создан CutePDF или LibreOffice Writer. В этом тестовом примере отредактированный пароль можно было полностью восстановить.
Тест 2: Редактирование текста во встроенном изображении
Целью теста 2 было проверить, что встроенное изображение, содержащее текст в PDF-документе, было отредактировано в процессе редактирования, а не просто скрыто.Представление текста из документа PDF в тесте 1 было скопировано в файл изображения. Файл изображения, в свою очередь, использовался для создания пяти отдельных PDF-документов с механизмами рендеринга, использованными в Тесте 1.
Каждый PDF-документ был проанализирован с помощью инструмента pdf2txt, который извлекает встроенный текст. Во всех случаях извлекаемый текст обнаружен не был. Это был ожидаемый результат, учитывая, что весь текст был представлен во встроенном изображении. Например, результат запуска инструмента pdf2txt для PDF-документа, созданного Adobe Acrobat, показан ниже. Чтобы проверить этот результат, каждый документ PDF также был проанализирован с помощью инструмента PDF Stream Dumper.
Инструмент pdfimages, который может обнаруживать и анализировать встроенные изображения, был запущен для документов PDF. Инструмент успешно идентифицировал встроенные изображения. Результат работы инструмента при работе с PDF-документом, созданным Adobe Acrobat, показан ниже.
Чтобы проверить функциональность редактирования, последние две строки документов PDF (представляющие конфиденциальную информацию) были отредактированы с помощью Adobe Acrobat. Отредактированные документы PDF были снова проанализированы с помощью инструмента pdfimages, который показал, что встроенный файл изображения изменился в размере. Например, файл изображения в отредактированном PDF-документе, созданном с помощью Adobe Acrobat, уменьшился с 22,9 КБ до 21,1 КБ, что означает, что он был отредактирован в процессе редактирования.
Чтобы убедиться, что конфиденциальная информация во встроенном файле изображения была успешно отредактирована, встроенное изображение было извлечено из документов PDF с помощью инструмента pdfimages и изучено. Например, файл встроенного изображения из документа PDF, созданного с помощью Adobe Acrobat, показан ниже. Он был отредактирован в процессе редактирования, чтобы удалить конфиденциальную информацию.
Тест 3: Редактирование исторических исправлений текста
В документах PDF хранятся исторические версии отредактированного текста. Целью теста 3 было проверить, что все исторические изменения конфиденциального текста были удалены путем редактирования с помощью Adobe Acrobat.Документы PDF из теста 1 были открыты в Adobe Acrobat. В каждом случае одна из строк, представляющих конфиденциальный текст, редактировалась несколько раз, чтобы каждое изменение было сохранено.
Затем PDF-документы были проанализированы с помощью инструмента pdfwalker, и исправления PDF-документов были отражены в файловых структурах. Например, файл, созданный Adobe Acrobat, показан ниже.
Конфиденциальный текст был отредактирован с помощью Acrobat, а документы PDF были снова проанализированы с помощью инструмента pdfwalker. Результат работы инструмента pdfwalker показал, что предыдущие версии конфиденциального текста были удалены. Например, результат синтаксического анализа документа PDF, созданного Adobe Acrobat, показан ниже. Обратите внимание, что инструмент pdfwalker всегда имеет «Revision 1» как артефакт.
Этот результат был подтвержден с помощью инструмента PDF Stream Dumper для определения количества файловых объектов в отредактированных документах PDF. В случае PDF-документа, созданного с помощью Adobe Acrobat, количество файловых объектов было уменьшено со 105 до 18 до и после редактирования соответственно.
Использование инструмента PDF Stream Dumper для исследования встроенных текстовых объектов показало, что в каждом случае исторические изменения конфиденциального текста удалялись путем редактирования. Напротив, остатки данных в объектах CMap остались для документов PDF, созданных с помощью CutePDF или LibreOffice Writer, как было обнаружено в тесте 1.
Тест 4: Редактирование текста в форме PDF
Используя Adobe Acrobat, текст вводился в два поля формы PDF.Документы PDF были впоследствии проанализированы с помощью инструмента pdfwalker. Текст был найден в трех объектах, показанных ниже. Два объекта соответствуют каждому из двух полей формы. Третий объект с текстовыми данными соответствовал словарю формы.
Встроенный текст в разделах словаря формы показан ниже. Встроенный текст выделяется зеленым цветом.
Для первого теста оба поля формы в документе PDF были полностью отредактированы с помощью Adobe Acrobat.
Во втором тесте поля формы в PDF-документе были частично отредактированы с помощью Adobe Acrobat.
Отредактированные PDF-документы затем были проанализированы с помощью инструмента pdfwalker. В обоих случаях объекты формы были удалены, оставив только объект, который содержал словарь формы. Результат анализа частично отредактированного PDF-документа показан ниже.
Содержимое оставшихся объектов словаря форм было дополнительно проанализировано с помощью инструмента PDF Stream Dumper, и никаких остатков текста обнаружено не было. Например, содержимое словаря форм из частично отредактированного PDF-документа показано ниже.
Результат был таким же для документа PDF, где поля формы были полностью отредактированы.
Тест 5: встроенный текст, скрытый изображением
Иногда попытки редактирования заканчивались неудачей, когда основной текст был просто скрыт, покрывая его другим слоем в виде затемненного прямоугольника или изображения [9].Начиная с файла Microsoft Word, использованного в тесте 1, текст был скрыт путем вставки вышележащего файла изображения, как показано ниже. Затем был создан PDF-документ с использованием каждого из пяти механизмов рендеринга.
Используя инструмент pdf2txt, было установлено, что основной текст остался в документах PDF, несмотря на то, что он был скрыт вышележащим изображением. Например, результат работы инструмента pdf2txt для документа PDF, созданного с помощью CutePDF, показан ниже.
Это продемонстрировало, что скрытие информации в PDF-документе с помощью изображения не является эффективным способом редактирования информации.
Тест 6. Редактирование зашифрованных PDF-документов.
PDF-документы из предыдущих тестов были зашифрованы с помощью Adobe Acrobat, отредактированы и затем проанализированы с помощью инструментов анализа PDF. Целью этого теста было проверить, изменило ли шифрование базовую файловую структуру PDF-документов или нет, и, таким образом, было ли какое-либо влияние на эффективность операций редактирования.Для всех предыдущих тестовых случаев результаты были аналогичными, и на них не повлиял запуск зашифрованного PDF-документа. Для PDF-документов, созданных с помощью CutePDF или LibreOffice Writer, как было обнаружено ранее, остатки отредактированного текста оставались в объектах ToUnicode CMap. Других остатков отредактированных данных обнаружено не было.
Тест 7. Очистка PDF-документов
Adobe Acrobat предлагает функцию очистки (например, «Удалить скрытую информацию»), которая удаляет скрытые данные. Например, метаданные, которые могут идентифицировать автора документа.До очистки документы PDF содержали объекты со встроенными метаданными. Каждый PDF-документ был проанализирован с помощью инструмента PDF Stream Dumper и проанализированы метаданные. Метаданные из PDF-документа, созданного CutePDF, показаны ниже. Полезная информация выделена зеленым цветом и включает механизм визуализации (CutePDF или Ghostscript), программное обеспечение, используемое для доступа к механизму визуализации (Microsoft Word), и учетную запись пользователя автора (IEUser).
Метаданные также доступны из свойств документа PDF в программе чтения PDF-файлов. Метаданные из документа PDF, созданного CutePDF и прочитанного Adobe Acrobat Reader, показаны ниже.
Чтобы проверить эффективность функции очистки, документы PDF были обработаны и проанализированы с помощью инструмента pdfwalker. Во всех тестовых случаях при дезинфекции удалялся объект, содержащий метаданные. Например, ниже показана файловая структура документа PDF, созданного CutePDF до (слева) и после (справа) очистки. Указывается объект, содержащий метаданные.
Успешная очистка метаданных была также подтверждена проверкой свойств документа PDF с помощью Adobe Acrobat Reader, как показано ниже. Выделены пустые поля метаданных.
Этот тест также исследовал, повлияет ли дезинфекция PDF-документа на остатки данных CMap, выявленные в предыдущих тестах. PDF-документы, созданные с помощью CutePDF и LibreOffice Writer, были очищены, а полученные PDF-документы проанализированы с помощью инструмента PDF Stream Dumper. В обоих случаях это не повлияло на остатки CMap в отредактированных документах PDF.
Кроме того, этот тест также исследовал, приведет ли санация PDF-документа к удалению нескольких исторических версий текста, как это было показано ранее в тесте 3. Когда PDF-документы были очищены и проанализированы с помощью инструмента pdfwalker, стало очевидно, что исторические изменения текста были удалены. Структура очищенного PDF-документа показана ниже.
Приложение Б: Обсуждение результатов тестирования
Было продемонстрировано различие между объектами CMap, созданными разными механизмами рендеринга. Microsoft Word не встраивал собственный CMap, а Adobe Acrobat Distiller делал это только для одного символа.Adobe Acrobat, CutePDF и LibreOffice Writer - все встроенные настраиваемые объекты CMap. Adobe Acrobat не настраивал порядок кодирования символов для сопоставлений селектора символов, а вместо этого использовал порядок сопоставлений, как они отображаются в Unicode. Напротив, CutePDF, использующий Ghostscript с открытым исходным кодом, и LibreOffice Writer настроили порядок сопоставлений таким образом, чтобы он отражал порядок, в котором символы впервые появляются в тексте. Таким образом, порядок сопоставлений в объектах CMap создает механизм кодирования, из которого могут быть извлечены значимые данные.
В структурах данных CMap сопоставления создаются при первом появлении символа в контексте шрифта. CMap останется, если все символы определенного шрифта не будут удалены из документа PDF. Если останется один символ, останется CMap. Таким образом, если при редактировании удаляются все символы, отображаемые в CMap, можно ожидать, что CMap будет удален и редактирование будет успешным. Это еще предстоит проверить. В этом случае анализ только частично отредактировал текст, и объекты CMap остались на месте.
Документы PDF, созданные с помощью Adobe Acrobat, Adobe Acrobat Distiller или Microsoft Word, могут быть успешно отредактированы Adobe Acrobat. При синтаксическом анализе PDF-документов не удалось выявить остатки отредактированных данных. Это связано с тем, что эти механизмы визуализации либо не использовали встроенные объекты CMap, либо, если они использовали, порядок сопоставлений не отражал порядок, в котором символы впервые появлялись в тексте. Напротив, документы PDF, созданные с помощью CutePDF или LibreOffice Writer, не были успешно отредактированы. Анализ этих PDF-документов обнаружил остатки отредактированных данных в структурах данных CMap.
Остатки данных, обнаруженные в отредактированных PDF-документах, возникли в результате:
- механизм визуализации, создающий объекты CMap, в которых порядок сопоставлений определялся порядком, в котором символы впервые появлялись в тексте
- при редактировании не удается изменить порядок сопоставлений в объектах CMap
- при редактировании не удается удалить потерянные сопоставления для символов, которые больше не существуют
- Остающиеся объекты CMap в виде всего текста определенного шрифта не редактировались.
- PDF-документ был обработан CutePDF (Ghostscript) или LibreOffice Writer
- Adobe Acrobat использовался для редактирования PDF-документа.
Если взаимосвязь между входными символами и порядком сопоставлений в CMap произвольна, это объясняет результаты в этом документе и означает, что пользовательские механизмы не запрещены какой-либо спецификацией. Это также может означать, что программное обеспечение редактирования должно отвечать за идентификацию и удаление артефактов отредактированных данных из объекта CMap. В связи с этим, профиль защиты расширенного пакета прикладного программного обеспечения для средств редактирования [12], опубликованная Национальным партнерством по обеспечению информационной безопасности (NIAP), неоднозначна. Для объекта оценки требуется удалить все ссылки и индикаторы в структурных данных на объекты, которые «полностью отредактированы». Если текст частично отредактирован для каждого шрифта, это может означать, что остатки данных в CMap будут разрешены. Профиль защиты не назначен ни одному программному продукту.
Поскольку объекты CMap создаются для каждого шрифта, вероятность восстановления остатков увеличивается по мере того, как отредактированный текст находится ближе к первому вхождению символа из определенного шрифта. Кроме того, во время тестирования было замечено, что сопоставления в CMaps были уникальными, хотя это не требуется. В результате, независимо от того, сколько предыдущего текста существует для каждого шрифта, вероятность восстановления остатков увеличивается, если отредактированный текст состоит из уникальных символов, встречающихся впервые. Вероятность восстановления остатков также увеличивается по мере уменьшения объема текста в документе PDF.
Эту уязвимость безопасности легко продемонстрировать в тестовой среде. Однако в реальных PDF-документах вероятность восстановления отредактированного текста из объектов CMap будет разной. Примеры из реального мира, которые могут быть уязвимы для извлечения остатков, могут включать:
- отредактированный текст, встречающийся в начале абзаца, где шрифт используется впервые (например, в начале информации, цитируемой из другого источника, которая выделяется с помощью другого шрифта)
- отредактированный текст - это пароль, ключ или кодовая фраза, состоящая из необычных символов, которые больше нигде не встречаются в документе PDF.
- небольшой PDF-документ с очень небольшим количеством текста.
- рандомизировал порядок сопоставлений в объектах CMap или использовал уже существующий порядок, такой как найденный в Unicode
- проанализировал объекты CMap и удалил потерянные сопоставления.
В связи с вышеизложенным, для максимальной уверенности в том, что остатки отредактированных данных не останутся в PDF-документах, организации должны:
- убедитесь, что исходный документ PDF был создан с помощью Adobe Acrobat, Adobe Acrobat Distiller или Microsoft Word, проверив метаданные документа PDF
- выполнять редактирование и дезинфекцию документа с помощью Adobe Acrobat Pro DC 2017.
