Bảo mật PDF - Mặt khác của đồng tiền
Đã cập nhật:ngày 15 tháng 2 năm 2010
Bảo mật PDF nghe có vẻ là một chủ đề khá mơ hồ. Và đúng vậy. Đối với đại đa số người dùng máy tính, tài liệu PDF chỉ đơn giản là một phương tiện thông tin. Thật không may, họ đã trở nên nhiều hơn thế.
Các tài liệu PDF đã phát triển đến mức chúng trở thành các ứng dụng tương tác, chứa đầy các tập lệnh và những thứ khác, tất cả đều nâng cao đáng kể trải nghiệm người dùng nhưng có thể dẫn đến các vấn đề tiềm ẩn khi sử dụng sai mục đích. Kết hợp với phần mềm PDF phổ biến, thường xuyên bị nhắm mục tiêu và lạm dụng, việc mở tài liệu PDF có thể trở thành một vấn đề bảo mật.
Chúng tôi đã nói về các lỗ hổng PDF và các biện pháp giảm thiểu có thể có trong bài viết trước. Sự thật mà nói, nếu suy tính trước, rắc rối có thể tránh được khá dễ dàng. Chạy hệ điều hành của bạn với các đặc quyền được giảm bớt, sử dụng các chương trình thay thế và bám vào các nguồn thông tin có uy tín và bạn sẽ ổn thôi. Không có sự hoảng loạn, thực sự. Trên thực tế, bạn có thể muốn hỏi tại sao tôi lại muốn viết bài này sau phần cuối cùng của tôi.
Chà, hôm nay, tôi muốn trình bày chủ đề về bảo mật PDF từ một góc độ khác. Mặc dù tất cả các phương pháp được đề cập trong bài viết đầu tiên đều là các kỹ thuật từ chối mặc định chung, luôn hoạt động tốt nhưng chúng không cho chúng ta biết bất cứ điều gì về tệp trong tay. Nói cách khác, chúng ta có thể đang làm việc với một tệp "xấu" mà không hề biết. Có thể không có rủi ro nào xảy ra với hệ thống, nhưng nó không loại bỏ kỹ thuật xã hội. Hơn nữa, nếu bạn đang sử dụng một hệ thống được cấu hình phù hợp, bạn không quan tâm đến việc mình sử dụng hoặc mở những tệp nào, nhưng nếu bạn chuyển tiếp những điều xấu đến những người bạn không biết gì của mình thì sao? Đây là một ví dụ:Người dùng Linux; họ không cần quan tâm nhiều đến những tệp nào họ mở và sử dụng trên hệ thống của mình, nhưng việc chuyển tiếp các tệp có thể bị nhiễm cho bạn bè Windows của họ có thể dẫn đến một số khoảnh khắc đáng xấu hổ.
Giải pháp tốt nhất là không có bạn bè, bằng cách này bạn sẽ không chuyển tiếp bất kỳ nội dung xấu nào cho bất kỳ ai, nhưng vì mọi người thường có xu hướng có bạn bè nên chúng ta sẽ thảo luận về cách tiếp cận phân tích hơn đối với phần mềm PDF. Tài liệu trình bày hôm nay không thay thế được bài học rút ra ở bài đầu; nó bổ sung cho họ - tốt.
Chúng ta hãy bắt đầu.
Thực hành sử dụng lành mạnh
Trong bài viết Các phương pháp thực hành trên Web an toàn, tôi đã nêu ra một số phương pháp mà người dùng thông thường có thể triển khai để cố gắng phân tích mức độ tốt của các tệp họ vừa tải xuống và muốn chạy. Họ xoay quanh các máy quét đa năng trực tuyến, yêu cầu trợ giúp trên các diễn đàn và một số hoạt động tìm kiếm vui vẻ trên Google. Đây không phải là cách hoàn hảo để xử lý mọi việc, thật không may, đôi khi đó là cách duy nhất. Khi ai đó muốn chạy một tập tin, họ sẽ chạy nó. Điều tốt nhất bạn có thể làm là cố gắng bằng cách nào đó thuyết phục họ thực hiện một số kiểm tra chiếu lệ trước khi thực thi tệp.
Vấn đề lớn với bất kỳ kiểu quét nào là bạn có thể gắn cờ tệp là xấu. Nhưng bạn không bao giờ có thể gắn cờ một tập tin tốt. Nhiều người không hiểu điều này; thay vào đó họ thề rằng phần mềm chống vi-rút của họ là giải pháp thiêng liêng nhất cho tất cả mọi người. Tôi muốn nhấn mạnh điểm này:nếu phần mềm chống vi-rút của bạn gắn cờ một tệp là xấu, thì đó là tệ nạn ít hơn. Khi có nghi ngờ thì không còn nghi ngờ gì nữa. Nhưng điều gì sẽ xảy ra nếu phần mềm này đánh dấu một tập tin là sạch? Nó có sạch không? Không. Điều này chỉ có nghĩa là nó không bị gắn cờ là xấu. Đó là tất cả.
Đây là lý do tại sao cách tiếp cận đưa vào danh sách trắng - hoặc từ chối mặc định - là cách tốt nhất để xử lý các loại mối đe dọa. Mọi người đều là kẻ thù ngoại trừ một số ít bạn bè được chọn. Bạn coi mọi thứ là tồi tệ và từ từ, cẩn thận để những lựa chọn nhỏ vào vòng tròn tin cậy.
Bài viết về lỗ hổng PDF của tôi chủ yếu nói về danh sách trắng. Vấn đề với danh sách trắng là bạn không biết về bất kỳ vấn đề nào có thể tồn tại hoặc không tồn tại. Bạn vui vẻ lướt qua, không biết đến bất kỳ tai ương nào có thể gây tai họa cho người khác.
Đây là nơi mà danh sách đen xuất hiện. Danh sách đen, còn được gọi là cho phép mặc định, là một phương pháp mà bạn lưu giữ cơ sở dữ liệu dài về những điều xấu, cập nhật danh sách định kỳ. Sau đó, các công cụ như máy quét chống vi-rút sẽ sử dụng các cơ sở dữ liệu này để cố gắng xác định mã độc. Chúng chạy các mẫu phát hiện chữ ký dựa trên mã thực thi và báo cáo lại cho người dùng. Phương pháp này khá giống Don Quixotic, nhưng nó đã trở thành một chuẩn mực và mọi người sẽ làm bất cứ điều gì họ được yêu cầu, miễn là đó là một chuẩn mực.
Danh sách đen giống như cơ quan thực thi pháp luật. Hầu hết mọi người được coi là vô tội cho đến khi được chứng minh là có tội. Danh sách trắng giống như năm 1984 hơn. Bạn có thể đọc một bài viết khá triết lý về chủ đề này nếu muốn.
Trong thế giới phần mềm, danh sách trắng sẽ thắng - và nó cũng không tệ đến thế trong xã hội. Danh sách đen khá kém hiệu quả. Tuy nhiên, khi cả hai kết hợp lại, bạn có thể đạt được một số kết quả khá thú vị. Khi bạn vượt qua danh sách trắng bằng một quả anh đào trong danh sách đen, bạn sẽ có được một công thức rất hữu ích.
Danh sách trắng làm cho bạn hạnh phúc. Danh sách đen làm cho bạn bè của bạn hạnh phúc. Bạn giữ cho máy của mình ở trạng thái tốt và tránh gửi rác cho người khác, rút ngắn chu kỳ spam và phần mềm độc hại. Nó giống như việc trở thành Siêu nhân và thử nghiệm vắc xin cúm lợn vì lợi ích của người khác.
Lỗ hổng PDF
Chúng ta đã nói nhiều về những điều này trước đây. Bạn chắc chắn nên xem bài viết của tôi về chủ đề này, giải quyết các vectơ tấn công phổ biến nhất và các cách rất đơn giản để giảm thiểu chúng, trước hết bằng cách thực hiện thận trọng và kiên nhẫn.
Bây giờ, nếu bạn muốn tìm hiểu kỹ thuật và sử dụng danh sách đen, thì đây là một bộ công cụ sẽ hỗ trợ bạn.
Máy quét PDF, chúng là gì?
Thật vậy. Hầu hết mọi người chưa bao giờ nghe nói về bất kỳ công cụ nào xử lý tệp PDF một cách cụ thể. Bạn có thể gặp may mắn với các máy quét chống X thông thường quảng cáo khả năng thần thánh của chúng ở khắp mọi nơi, nhưng có rất ít công cụ chuyên dụng xử lý tệp PDF.
Cho đến gần đây, các tệp PDF không được coi là thú vị. Nhưng sự kết hợp giữa tập lệnh mạnh mẽ và Flash với PDF đã tạo ra một lỗ hổng có thể bị khai thác khá tốt. Tệ hơn nữa, phần mềm PDF và Flash phổ biến nhất lại đến từ cùng một nhà cung cấp - Adobe, vì vậy khi bạn gặp sự cố với một phần mềm, bạn cũng có thể gặp sự cố với phần mềm kia.
Việc giảm thiểu các mối đe dọa PDF đã khiến nhiều người dùng Windows hoang mang và có rất ít giải pháp. Việc chạy một tài khoản hạn chế và sử dụng phần mềm thay thế sẽ giải quyết được vấn đề, nhưng rất ít người sẵn sàng thử những khái niệm cực kỳ đơn giản này.
Gần đây, một số công cụ bảo mật PDF đã xuất hiện, cung cấp cho người dùng Windows một số cách để cố gắng xác định các tệp xấu. Tôi nói lại, đưa vào danh sách trắng là cách thực hiện được ưu tiên. Bây giờ, hãy kiểm tra các công cụ này:
Wepawet
trang chủ
Wepawet là một dịch vụ phân tích phần mềm độc hại dựa trên web. Nó xử lý các tệp Flash, Javascript và PDF. Bạn có thể sử dụng dịch vụ bằng cách tải tệp lên hoặc bằng cách chỉ định URL. Nó rất đơn giản.
Và đây là báo cáo mẫu:
Điều này không có nghĩa là hoàn hảo, nhưng nó có thể cho bạn biết ý nghĩa của điều này. Hãy nhớ rằng, khi có nghi ngờ, không có nghi ngờ gì cả.
PDFiD
trang chủ (bài viết)
Công cụ này sẽ vô hiệu hóa Javascript bên trong các tệp PDF. Công việc của nó là viết lại tên các hàm thay đổi chữ thường thành chữ hoa và ngược lại. Vì ngôn ngữ PDF phân biệt chữ hoa chữ thường nên điều này sẽ khiến các tập lệnh trở nên vô nghĩa và không sử dụng được nhưng điều này sẽ không ngăn phần mềm đọc hiển thị nội dung một cách chính xác. Họ sẽ đơn giản bỏ qua những hướng dẫn tồi và bỏ qua.
Tuy nhiên, PDFiD là tập lệnh python dòng lệnh, vì vậy bạn sẽ phải cài đặt Python và gọi công cụ này từ dòng lệnh. Không có GUI ưa thích. Giống như Wepawet, công cụ này còn non trẻ và có thể gặp trục trặc nhưng nó vẫn hoàn thành công việc.
Đây là lệnh:
PDFiD -d
Thao tác này sẽ "vô hiệu hóa" tệp PDF, xóa Javascript và tạo một bản sao có tên
Theo hiểu biết tốt nhất của tôi và tôi có thể nhầm lẫn ở đây, PDFiD được bao gồm trong danh sách máy quét VirusTotal, vì vậy nếu bạn thực hiện quét trực tuyến đối với một tệp đáng ngờ, bạn sẽ có hơn 20 công cụ xác minh tính toàn vẹn của nội dung được tải lên, bao gồm cả PDFiD.
Tiện ích bổ sung
Nói chung, đó sẽ là tất cả cho ngày hôm nay. Đối với những người siêu đam mê, đây là một số bài đọc thêm:
Bản PDF này có độc hại không?
Kết luận
Bài viết này sẽ không biến bạn thành một người lính lực lượng đặc biệt PDF hay bất cứ thứ gì tương tự. Nhưng nó cung cấp cho bạn các công cụ cơ bản để cố gắng xác định các tệp có thể không mong muốn. Các công cụ này còn lâu mới hoàn hảo hoặc được thiết kế để sử dụng rộng rãi, nhưng nếu bạn đang đọc bài viết này thì có thể bạn không phải là người dùng máy tính bình thường.
Lần thứ một triệu, nếu bạn không thích tệp này, đừng chạy nó. Trên hết, để tránh những sai lầm do bản thân gây ra do ngón tay ngứa ngáy, hãy sử dụng các ứng dụng thay thế và tuân theo khái niệm đặc quyền tối thiểu. Bằng cách này, ngay cả khi bạn thực thi các tệp xấu, chúng sẽ có mức độ thiệt hại thấp hơn nhiều.
Tôi khuyên bạn nên sử dụng Wepawet và PDFiD khi gửi các tệp mà bạn phải gửi cho những người bạn kém hiểu biết hơn có thói quen sử dụng máy tính khó chịu. Về lâu dài, có thể bạn sẽ không tạo ra nhiều khác biệt nhưng ít nhất bạn cũng đã nỗ lực hết mình.
Bám sát danh sách trắng và sử dụng danh sách đen khi xử lý các tệp đáng ngờ trong quá trình vận chuyển. Tôi hy vọng bạn thích bài viết này. Nếu bạn có điều gì đó khôn ngoan, hãy bổ sung, đừng ngại, hãy gửi email. Hẹn gặp lại nhé.
Chúc mừng.