Niebezpieczne dokumenty PDF
Specjalistka od zabezpieczeń Julia Wolf z amerykańskiej firmy FireEye podczas 27. konferencji Chaos Communication Congress (27C3) zwróciła uwagę na liczne, mało dotąd znane problemy związane z bezpieczeństwem opracowanego przez Adobe standardu PDF.
Według niej możliwe jest na przykład włączenie do pliku PDF skanera bazodanowego, który podczas wydruku dokumentu na drukarce sieciowej uaktywni się i przeprowadzi próbkowanie sieci. Ów format dokumentów potrafi też przysporzyć wielu innych niespodzianek. Istnieje przykładowo możliwość zapisania plików PDF w taki sposób, by w różnych systemach operacyjnych, przeglądarkach bądź czytnikach PDF - albo nawet w zależności od języka ustawionego na komputerze - wyświetlały inne treści.
Przedsiębiorstwa i organy administracji stosują PDF jako standardowy format, aby w heterogenicznych środowiskach komputerowych zapewnić jednolitą prezentację zawartości akt. Jednak zdaniem Wolf standard PDF od dawna ma o wiele za dużo funkcji, które są wykorzystywane do przeprowadzania ataków i wyrządzania szkód: począwszy od pozbawionego ochrony łącza bazodanowego, a skończywszy na opcjach powodujących uruchamianie na oślep dowolnych programów w Acrobat Readerze.
Do tego trzeba dodać obsługę niespecjalnie zabezpieczonych języków typu JavaScript oraz innych formatów takich jak XML czy znaczników RFID i cyfrowego zarządzania prawami (DRM). Zresztą Adobe określa PDF mianem "formatu kontenerowego", który faktycznie pozwala upychać w nim dodatkowe treści. Włączane mogą być nawet pliki Flash, które same w sobie zawierają wiele newralgicznych miejsc, jak również pliki dźwiękowe i filmowe.
"Jest wiele miejsc pozwalających na ukrycie dowolnych danych i kodu w pliku PDF"- stwierdziła dalej Wolf. Na przykład całą zawartość dokumentów oraz metadane daje się odczytać i modyfikować za pomocą JavaScriptu. Włączane mogą być nawet skompresowane pliki, choćby do formatu ZIP, w których komentarzach umieszcza się z kolei inne obiekty. Jest też możliwość stworzenia zbioru PDF o bardzo małych rozmiarach, który jedynie wykonuje JavaScript. Poza tym na określone obiekty można odsyłać więcej niż raz, powodując różne reakcje podczas otwierania plików.
Zdaniem Wolf klęska systemu zabezpieczeń wynika nie tylko z faktu, że większość programów antywirusowych nie wykrywa malware'u zawartego w plikach PDF. Specjalistka przeprowadziła serię testów z już znanymi exploitami, podczas których połowa spośród przeszło 40 egzaminowanych skanerów nie reagowała nawet na zagrożenia zgłoszone kilka miesięcy wcześniej. Gdy szkodliwy kod w JavaScripcie jest skompresowany, współczynnik wykrywalności okazuje się jeszcze gorszy.
Z perspektywy Adobe pierwszorzędną ochronę zapewni wprowadzona do Readera X piaskownica, w której kod nie będzie uzyskiwał praw zapisu. Inni eksperci do spraw bezpieczeństwa proponują, by za pomocą narzędzi pomocniczych usuwać metadane z dokumentów PDF albo by z góry sprawdzać składnię odpowiednich plików pod kątem błędów zgodności.
