Tôi vẫn nhớ cuộc gọi đã thay đổi cách tôi nghĩ về bảo mật PDF mãi mãi. Đó là lúc 2:47 sáng vào một thứ Ba tháng Ba năm 2019, và tôi là Giám đốc Bảo mật Thông tin tại một nhà cung cấp dịch vụ chăm sóc sức khỏe có quy mô trung bình, quản lý hồ sơ cho hơn 340.000 bệnh nhân. CISO của chúng tôi đang ở đầu dây bên kia, giọng nói căng thẳng với sự hoảng loạn được kiểm soát: "Chúng ta có một vấn đề. Hồ sơ bệnh nhân. Bị lộ. PDFs mà chúng ta nghĩ là an toàn." Đêm đó, tôi đã học được rằng 23.000 tệp PDF được cho là "được bảo vệ bằng mật khẩu" đã bị các công cụ tìm kiếm lập chỉ mục, nội dung của chúng hoàn toàn có thể đọc được bởi bất kỳ ai có kết nối internet. Mật khẩu? Chúng có đó, về mặt kỹ thuật đã được áp dụng, nhưng được thực hiện quá kém đến nỗi có thể đã được viết bằng bút sáp trên bề mặt của phong bì.
💡 Những điểm chính
- Bảo Mật PDF: Tại Sao Hồ Sơ Của Bạn Lại Dễ Bị Tổn Thương Hơn Bạn Nghĩ
- Hiểu Về Mã Hóa PDF: Không Tất Cả Bảo Mật Đều Được Tạo Ra Như Nhau
- Chiến Lược Mật Khẩu: Xây Dựng Các Lớp Phòng Thủ Thực Sự Hoạt Động
- Mã Hóa Dựa Trên Chứng Chỉ: Giải Pháp Doanh Nghiệp
Biến cố đó đã khiến chúng tôi tổn thất 1,2 triệu đô la cho việc khắc phục, các khoản phạt quy định và phí pháp lý. Quan trọng hơn, nó đã khiến chúng tôi mất đi sự tin tưởng. Nhưng nó đã dạy tôi điều gì đó vô giá: bảo mật PDF không chỉ là đánh dấu vào các ô hoặc áp dụng các tính năng vì chúng tồn tại. Nó liên quan đến việc hiểu các mô hình đe dọa thực sự, các vector tấn công trong thế giới thực, và những cách đôi khi nghịch lý mà các tính năng bảo mật có thể thất bại. Trong 14 năm qua làm việc trong lĩnh vực bảo mật tài liệu—đầu tiên là trong chăm sóc sức khỏe, sau đó là công nghệ pháp lý, và bây giờ là một tư vấn độc lập—tôi đã thấy mọi sai lầm có thể tưởng tượng, và tôi đã học được rằng bảo vệ PDF đòi hỏi một tư duy hoàn toàn khác so với hầu hết mọi người khi tiếp cận vấn đề này.
Bảo Mật PDF: Tại Sao Hồ Sơ Của Bạn Lại Dễ Bị Tổn Thương Hơn Bạn Nghĩ
Hãy bắt đầu với một sự thật không thoải mái: tổ chức trung bình hoàn toàn không biết có bao nhiêu PDF chứa thông tin nhạy cảm, nơi những PDF đó được lưu trữ, hoặc ai có quyền truy cập vào chúng. Trong một cuộc kiểm toán năm 2023 mà tôi thực hiện cho một công ty dịch vụ tài chính nằm trong danh sách Fortune 500, chúng tôi đã phát hiện 847.000 tệp PDF trên mạng của họ. Trong số đó, 34% chứa thông tin nhận dạng cá nhân (PII), 12% chứa dữ liệu tài chính có thể được coi là thông tin không công khai quan trọng, và 3% chứa thông tin chi tiết hoặc khóa API có thể cấp quyền truy cập vào các hệ thống sản xuất. Điểm mấu chốt? Chỉ có 8% trong số các PDF nhạy cảm đó có bất kỳ biện pháp bảo mật nào được áp dụng.
Các PDF đặc biệt gây vấn đề từ góc độ bảo mật vì chúng tồn tại tại giao điểm của nhiều vector đe dọa. Chúng là tài liệu, vì vậy mọi người thường đối xử với chúng một cách thoải mái—gửi qua email, tải lên dịch vụ lưu trữ đám mây, chia sẻ qua các ứng dụng nhắn tin. Nhưng chúng cũng là các hộp chứa có thể thực thi bao gồm JavaScript, các tệp nhúng, các mẫu gửi dữ liệu, và các liên kết đến các nguồn bên ngoài. Chúng vừa được tin tưởng quá mức vừa không đủ tin cậy. Người dùng sẽ mở một PDF mà không cần suy nghĩ nhưng không nhất thiết phải xác minh tính xác thực của nó hoặc kiểm tra xem nó có bị sửa đổi hay không.
Chính sách PDF tự nó là một tài liệu dài 756 trang (tính đến PDF 2.0), và hầu hết các nhà phát triển triển khai các tính năng PDF chỉ hiểu khoảng 15% của nó. Điều này tạo ra một bề mặt tấn công khổng lồ. Tôi cá nhân đã khai thác các trình đọc PDF bằng cách sử dụng các luồng đối tượng bị định dạng sai, thao tác các bảng tham chiếu chéo để ẩn nội dung, và sử dụng các cập nhật gia tăng để tạo ra các tài liệu hiển thị nội dung khác nhau tùy thuộc vào trình đọc nào mở chúng. Và tôi không phải là một kẻ tấn công tinh vi—tôi là một người bảo vệ đang cố gắng hiểu những gì có thể.
Các công cụ mà mọi người sử dụng để tạo và bảo mật PDF dao động từ các giải pháp cấp doanh nghiệp với giá hàng nghìn đô la mỗi ghế đến các công cụ chuyển đổi miễn phí trực tuyến có thể hoặc không thu thập dữ liệu của bạn. Theo kinh nghiệm của tôi, khoảng 60% các tổ chức sử dụng ít nhất ba công cụ tạo PDF khác nhau và họ hiếm khi có các chính sách bảo mật nhất quán trên tất cả chúng. Một phòng ban có thể đang sử dụng Adobe Acrobat với mã hóa đúng, một cái khác có thể đang sử dụng một driver in ra PDF mà xóa toàn bộ bảo mật, và một phòng ban thứ ba có thể đang sử dụng một công cụ trực tuyến tải mọi thứ lên máy chủ ở các khu vực pháp lý có luật bảo vệ dữ liệu đáng ngờ.
Hiểu Về Mã Hóa PDF: Không Tất Cả Bảo Mật Đều Được Tạo Ra Như Nhau
Khi hầu hết mọi người nghĩ về bảo mật PDF, họ nghĩ về mã hóa. Nhưng "PDF được mã hóa" cũng giống như nói "cửa bị khóa"—có nhiều loại khóa khác nhau, một số trong đó có thể bị mở bằng kẹp giấy, và một số yêu cầu thiết bị cắt công nghiệp. Chính sách PDF hỗ trợ nhiều thuật toán mã hóa khác nhau, và sự khác biệt giữa chúng không phải là lý thuyết—chúng đại diện cho sự khác biệt giữa bảo mật thực tế và bảo mật hình thức.
"Bảo mật PDF không chỉ là đánh dấu vào các ô hoặc áp dụng các tính năng vì chúng tồn tại—mà là hiểu các mô hình đe dọa thực sự, các vector tấn công trong thế giới thực, và đôi khi là những cách nghịch lý mà các tính năng bảo mật có thể thất bại."
Phương pháp mã hóa lâu đời nhất vẫn đang được sử dụng là RC4 với khóa 40-bit, trước đây được coi là yếu khi được giới thiệu vào những năm 1990 và giờ đây đã hoàn toàn bị phá vỡ. Tôi có thể phá một PDF mã hóa RC4 40-bit trong chưa đầy 30 giây trên máy tính xách tay của mình bằng cách sử dụng các công cụ có sẵn miễn phí. Tuy nhiên, tôi vẫn gặp những tệp này trong thực tế, thường được tạo ra bởi các hệ thống kế thừa hoặc phần mềm lỗi thời chưa được cập nhật trong một thập kỷ. Trong một trường hợp đáng nhớ, một công ty luật đã sử dụng mã hóa RC4-40 trên các hợp đồng dàn xếp vì hệ thống quản lý tài liệu của họ từ năm 2004 không hỗ trợ bất kỳ điều gì khác. Họ đã rất sốc khi biết rằng các tài liệu "an toàn" của họ có thể được mở bởi bất kỳ ai có kỹ năng kỹ thuật cơ bản.
Tiêu chuẩn hiện tại là mã hóa AES-256, đó là những gì bạn nên sử dụng cho bất kỳ điều gì cần được an toàn thực sự. AES-256 là tiêu chuẩn mã hóa giống như mà chính phủ Hoa Kỳ sử dụng cho thông tin được phân loại lên mức BÍ MẬT. Khi được thực hiện đúng với một mật khẩu mạnh, nó thực sự không thể bị phá vỡ với công nghệ hiện tại—chúng ta đang nói về 2^256 khả năng tồn tại khóa, cao hơn số lượng nguyên tử trong vũ trụ có thể quan sát. Nhưng đây là cụm từ quan trọng: "khi được thực hiện đúng với một mật khẩu mạnh."
Mật khẩu là nơi mà hầu hết việc mã hóa PDF thất bại trong thực tế. Tôi đã phân tích hàng nghìn PDF được mã hóa, và các mật khẩu phổ biến nhất là các mẫu dễ đoán: "mật khẩu", "123456", tên công ty, tên tài liệu hoặc ngày tháng ở nhiều định dạng khác nhau. Trong một bài kiểm tra xâm nhập mà tôi thực hiện năm ngoái, tôi đã có thể phá 67% các PDF được mã hóa bằng cách sử dụng một từ điển chỉ 10.000 mật khẩu phổ biến. Mã hóa về mặt kỹ thuật được cho là mạnh—AES-256—nhưng mật khẩu lại yếu đến nỗi mã hóa có thể không tồn tại.
Cũng có một sự phân biệt quan trọng giữa mật khẩu người dùng và mật khẩu chủ sở hữu trong các PDF. Một mật khẩu người dùng (còn gọi là mật khẩu mở) là cần thiết để mở tài liệu. Một mật khẩu chủ sở hữu (còn gọi là mật khẩu quyền truy cập) kiểm soát những gì bạn có thể làm với tài liệu một khi nó đã được mở—in, sao chép văn bản, chỉnh sửa, vv. Đây là vấn đề: mật khẩu chủ sở hữu về cơ bản đã bị hỏng. Chúng không thực sự mã hóa nội dung; chúng chỉ đang thiết lập cờ mà các trình đọc PDF tuân thủ đồng ý tôn trọng. Bất kỳ trình đọc PDF nào không quan tâm đến việc tuân thủ có thể đơn giản là bỏ qua những hạn chế này. Tôi có thể xóa các hạn chế mật khẩu chủ sở hữu từ một PDF trong khoảng năm giây bằng bất kỳ số lượng công cụ miễn phí nào.
Chiến Lược Mật Khẩu: Xây Dựng Các Lớp Phòng Thủ Thực Sự Hoạt Động
Nếu bạn định sử dụng bảo vệ bằng mật khẩu—và đối với nhiều trường hợp sử dụng, nó vẫn là lựa chọn thực tiễn nhất—bạn cần một chiến lược mật khẩu thừa nhận cả thực tế kỹ thuật và các yếu tố con người. Tôi đã phát triển một khung mà tôi gọi là "sức mạnh mật khẩu theo ngữ cảnh", điều này điều chỉnh các yêu cầu dựa trên độ nhạy cảm của nội dung, phương pháp phân phối và thời gian dự kiến của tài liệu.
| Phương Pháp Bảo Mật | Cấp Độ Bảo Vệ | Trường Hợp Sử Dụng | Hạn Chế |
|---|---|---|---|
| Chỉ Bảo Vệ Bằng Mật Khẩu | Thấp | Kiểm Soát Truy Cập Tệp Cơ Bản | Dễ dàng bị vượt qua, không mã hóa nội dung, dễ bị tấn công brute force |
| Mã Hóa RC4 40-bit | Rất Thấp | Khả năng tương thích với hệ thống cũ | Có thể bị phá vỡ trong vài giây, tiêu chuẩn đã lỗi thời, mang lại cảm giác an toàn giả |
| Mã Hóa AES 128-bit | Trung Bình-Cao | Tài Liệu Kinh Doanh Chuẩn | Bảo mật nếu được thực hiện đúng, dễ bị mật khẩu yếu |
| Mã Hóa AES 256-bit | Cao | Dữ Liệu Nhạy Cảm/Quản Lý | Bảo vệ mạnh mẽ, yêu cầu quản lý khóa và chính sách mật khẩu đúng cách |
| Biên Tập + Mã Hóa | Rất Cao | Tài Liệu Pháp Lý, Y Tế, Phân Loại | Cần sử dụng công cụ biên tập thích hợp, loại bỏ siêu dữ liệu rất quan trọng, rủi ro do lỗi của con người |
Đối với các tài liệu cực kỳ nhạy cảm—bất kỳ thứ gì chứa PII, dữ liệu tài chính, bí mật kinh doanh, hoặc dữ liệu được quy định...