Computerbeveiliging - Hoe je bad guys buiten de deur houdt

PDF files email openen

09-08-2016, 10:32 door [Account Verwijderd], 4 reacties
Ik ontvang voor mijn werk veel emails met pdf bijlagen. Wat is de veiligste manier om deze te openen?

Op dit moment open in de pdf's in een sandboxed Firefox (Sandboxie).

Is dat oke, of kan het veilger, bijvoorbeeld met een PDF viewer i.p.v. openen in Firefox? En de PDF viewer dan eventueel ook standaard openen in Sandboxie?

Andere suggesties?
Reacties (4)
09-08-2016, 11:41 door Erik van Straten - Bijgewerkt: 09-08-2016, 11:51
Ontvangen PDFs, vóór het openen, door een dienst als Virustotal [1] laten scannen geeft al veel inzicht, maar is waarschijnlijk ongewenstvoor PDF's met potentieel vertrouwelijke informatie. In plaats daarvan kun je van dergelijke PDF natuurlijk ook een cryptografische hash (zoals MD5) berekenen en vervolgens die hash invullen op Virustotal (in het tabblad Search). Als het om malware gaat heb je een redelijke kans dat iemand anders dezelfde file al heeft geüpload; anders heb je hier helaas niets aan.

Uit [2] (pagina met interessante tools als je met Python om kunt gaan):
Door Didier Stevens: [...]
Almost all malicious PDF documents that I’ve found in the wild contain JavaScript (to exploit a JavaScript vulnerability and/or to execute a heap spray). Of course, you can also find JavaScript in PDF documents without malicious intend.
[...]
All malicious PDF documents with JavaScript I’ve seen in the wild had an automatic action to launch the JavaScript without user interaction.

The combination of automatic action and JavaScript makes a PDF document very suspicious.
[...]

Voor zover ik weet ondersteunt SumatraPDF [3], [4] geen Javascript (in de wishlist te vinden in de sources staat: "-- PDF JavaScript support using mujs (low, risky)").

Bovendien is het een vermoedelijk veel minder gebruikte dan Adobe Reader en Foxit Reader, waardoor de kans op expoits die werken in SumatraPDF kleiner is. Aan de andere kant maakt SumatraPDF, voor zover ik weet, gebruik van MuPDF om PDF's te parsen en renderen; die library wordt (aldus [5]) door meer partijen gebruikt wat het maken van exploits lucratiever zou kunnen maken. Het blijft een gok...

Voor extra veiligheid zou je SumatraPDF natuurlijk in een sandbox kunnen draaien.

Aanvulling 11:51: met de SumatraPDF commandline-optie -restrict voorkom je volgens [6] o.a. dat klikken op links in PDF's iets doet (ik heb ansich ongevaarlijke PDF's gezien die proberen je een kwaadaardige website te laten openen).

[1] https://www.virustotal.com/
[2] https://blog.didierstevens.com/programs/pdf-tools/
[3] http://www.sumatrapdfreader.org/download-free-pdf-viewer.html
[4] https://github.com/sumatrapdfreader/sumatrapdf
[5] https://en.wikipedia.org/wiki/MuPDF
[6] http://www.sumatrapdfreader.org/manual.html#manual-restricted
09-08-2016, 11:48 door [Account Verwijderd]
Bedankt Erik, je raad het me dan dus af om de pdf's in Firefox te openen?
09-08-2016, 12:10 door Erik van Straten - Bijgewerkt: 09-08-2016, 12:11
09-08-2016, door opti: Bedankt Erik, je raad het me dan dus af om de pdf's in Firefox te openen?
In het verleden is er minstens 1 kwetsbaarheid gefixed in de PDF parser van Firefox [1], en persoonlijk hou ik de complexiteit van het parsen van (externe) web content liever gescheiden van dat van lokaal opgeslagen PDF's.

Echter als SandboxIE zo geconfigureerd is dat als je PDF's opent er niet aan jouw bestanden maar ook Firefox instellingen, add-ons en Firefox binaries kan worden gerommeld, lijkt het risico mij beperkt.

Of de Firefox PDF reader iets met Javascript in PDF's doet weet ik niet (c.q. exploits denkbaar zijn waardoor dat onbedoeld ineens wel lukt - de rendering engine daarvoor is natuurlijk wel "aan boord").

Zie ook mijn aanvulling hierboven; te snel/zonder nadenken klikken op potentieel kwaadaardige links zal Firefox vast wel ondersteunen en ik weet niet of je dat in de Firefox instellingen uit kunt zetten.

Wat ik ook niet weet is of Firefox verdachte en/of problematische bestanden naar Mozilla uploadt, iets dat ik ongewenst vind om privacy- en vertrouwelijkheidsredenen. Ik heb geen aanwijzingen dat SumatraPDF op een dergelijke manier naar huis belt; van Firefox weet ik dat deze in elk geval een heel stel instellingen heeft voor telemetry- en blocklist-achtige zaken.

Om PDF's op websites te openen gebruik ik Firefox trouwens ook niet (juist omdat kwaadaardige sites "zien" dat ik Firefox gebruik en er dus wel vanuit zullen gaan dat ik de ingebouwde PDF lezer benut).

Afraden wil ik Firefox dus niet, zelf gebruik ik alleen wat anders.

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/
09-08-2016, 12:11 door Anoniem
PDF XChange Viewer http://www.tracker-software.com

Dit is closed source maar de reader is wel gratis en ondersteund recente PDF versies. Het is redelijk stabiel.

Diverse andere gratis implementaties zijn vaak gebaseerd op libraries van anderen en vele zijn instabiel (crashen snel), en zijn dus gevaarlijk.

Een Javscript PDF reader implementatie zoals die in Firefox is niet noodzakelijk veiliger dan een executable.

Adobe PDF kun je inderdaad beter vermijden, die wordt veel aangevallen.

PDF's zijn op zich redelijk veilig als je een doorsnee gebruiker bent er wordt weinig PDF malware verstuurt in emails. Als je een doelwit bent van spionage, dan moet je zeker geen Adobe PDF gebruiken. Die werken via exploits. Exploits werken ook als javascript uit staat.

Javascript in PDF programma moet altijd uitstaan tenzij de bron vertrouwd is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.