it-swarm.com.de

Was ist der sicherste Weg, um mit vielen eingehenden PDF - Dateien umzugehen, von denen einige möglicherweise bösartig sein können?

Als investigativer Journalist erhalte ich jeden Tag Dutzende von Nachrichten, von denen viele PDF Dokumente) enthalten. Ich mache mir jedoch Sorgen über einige der potenziell böswilligen Folgen, wenn ich sie blind öffne und meinen Computer kompromittiere. In der Vergangenheit, bevor ich anfing, im investigativen Journalismus zu arbeiten, benutzte ich virustotal.com, um alle Dateien (einschließlich PDFs) zu analysieren, die in meinen Posteingang gelangen. Dies ist in diesem Fall jedoch nicht möglich, da die Dateien an sie gesendet werden, wenn sie vor der Veröffentlichung vertraulich behandelt werden sollen. Und ich habe gehört, dass Antiviren-Lösungen nicht 100% narrensicher sind.

Was ist der sicherste Weg, um mit vielen eingehenden PDF - Dateien umzugehen, von denen einige möglicherweise bösartig sein können?

161

Ich denke, die sicherste Option für Sie wäre, Qubes OS mit seiner eingebauten DisposableVM s Funktionalität und seiner „Convert zu vertrauenswürdigem PDF ”Tool.

Was ist Qubes OS?

Qubes ist ein Betriebssystem, bei dem alles auf virtuellen Maschinen basiert. Sie können sich das so vorstellen, als hätten Sie verschiedene isolierte „Computer“ in Ihrem Computer. Auf diese Weise können Sie Ihr digitales Leben in verschiedene Domänen unterteilen, sodass Sie einen "Computer" haben, auf dem Sie nur arbeitsbezogene Dinge erledigen, einen anderen "Computer", der offline ist und auf dem Sie Ihre Passwortdatenbank und Ihre PGP-Schlüssel speichern, und Ein weiterer 'Computer', der speziell für nicht vertrauenswürdiges Surfen vorgesehen ist ... Es gibt unzählige Möglichkeiten, und die einzige Grenze ist Ihr RAM] und im Grunde, wie viele verschiedene 'Computer' gleichzeitig geladen werden können Stellen Sie sicher, dass alle diese "Computer" ordnungsgemäß voneinander isoliert sind und dass sie nicht zu Ihrem Host (genannt " dom0" für Domäne 0) gelangen können, und steuern Sie dadurch Ihren gesamten Computer. Qubes verwendet den Xen-Hypervisor ,[1] Dies ist dieselbe Software, die von vielen großen Hosting-Anbietern verwendet verwendet wird, um Websites und Dienste wie Amazon EC2, IBM, Linode voneinander zu isolieren. Eine weitere coole Sache ist, dass jeder von ihnen Ihre 'Computer' haben eine spezielle Farbe, die sich in den Rändern der Fenster widerspiegelt. Sie können also Rot für den nicht vertrauenswürdigen „Computer“ und Blau für Ihren Arbeitscomputer auswählen (siehe Beispielbild unten). In der Praxis ist es also sehr einfach zu erkennen, auf welcher Domain Sie arbeiten. Nehmen wir jetzt an, dass böse Malware in Ihre nicht vertrauenswürdige virtuelle Maschine eindringt und andere virtuelle Maschinen, die möglicherweise vertrauliche Informationen enthalten, nur dann beschädigen und infizieren kann, wenn ein Exploit vorliegt, der eine Sicherheitsanfälligkeit in Xen zum Eindringen in verwendet. dom0 (was sehr selten ist), was die Sicherheitslatte erheblich erhöht (bevor nur Malware auf Ihrem Computer bereitgestellt werden muss, bevor alles kontrolliert wird) und Sie vor den meisten Angreifern mit Ausnahme der am meisten ausgestatteten schützt und anspruchsvolle.

Was sind Einweg-VMs?

Die andere Antwort erwähnte, dass Sie einen Brenner-Laptop verwenden können. Eine virtuelle Einwegmaschine ist ähnlich, außer dass Sie nicht an physische Einschränkungen gebunden sind: Sie haben unendlich viele Einweg-VMs auf Ihren Wunsch. Alles, was Sie brauchen, um einen zu erstellen, ist ein Klick, und nachdem Sie fertig sind, wird die virtuelle Maschine zerstört. Ziemlich cool, oder? Qubes wird mit einer Thunderbird-Erweiterung geliefert, mit der Sie Dateianhänge in DisposableVMs öffnen können, sodass dies für Ihre Anforderungen sehr nützlich sein kann.[2]

enter image description here

(Credits: Micah Lee)

Worüber haben Sie gesprochen: "In vertrauenswürdiges PDF konvertieren"?

Angenommen, Sie haben ein interessantes Dokument gefunden, und wir haben eine virtuelle Offline-Maschine, die speziell zum Speichern und Öffnen von Dokumenten vorgesehen ist. Natürlich können Sie dieses Dokument direkt an diese VM senden, aber es besteht immer noch die Möglichkeit, dass dieses Dokument böswillig ist und beispielsweise versucht, alle Ihre Dateien zu löschen (ein Verhalten, das Sie in kurzer Zeit nicht bemerken würden DisposableVM). Sie können es aber auch in ein so genanntes "vertrauenswürdiges PDF" konvertieren. Sie senden die Datei an eine andere VM, öffnen den Dateimanager, navigieren zum Verzeichnis der Datei, klicken mit der rechten Maustaste und wählen "In vertrauenswürdiges PDF konvertieren". Anschließend senden Sie die Datei an die VM wo Sie Ihre Dokumente sammeln. Aber was genau macht es? Das Tool "In vertrauenswürdiges PDF konvertieren" erstellt eine neue DisposableVM, legt die Datei dort ab und transformiert sie dann über einen Parser (der in der DisposableVM ausgeführt wird) Im Grunde genommen wird der RGB-Wert jedes Pixels verwendet und alles andere belassen. Es ist ein bisschen so, als würde man das PDF in einer isolierten Umgebung öffnen und es dann "scannen", wenn man so will. Die Datei wird offensichtlich viel größer, Wenn ich mich recht erinnere, hat es sich beim Testen eines 10Mb PDF in ein 400Mb) verwandelt. Weitere Informationen dazu finden Sie in diesem Blogpost von Sicherheitsforscher und Qubes OS-Ersteller Joanna Rutkowska.


[1]: Das Qubes OS-Team arbeitet daran, die Unterstützung anderer Hypervisoren (z. B. KVM) zu ermöglichen, damit Sie nicht nur verschiedene Systeme für die Ausführung auf Ihren VMs auswählen können, sondern auch den Hypervisor, auf dem diese virtuellen Maschinen ausgeführt werden.
[2]: Außerdem müssen Sie eine Option konfigurieren, damit die DisposableVM, die generiert wird, wenn Sie auf "In DispVM öffnen" klicken, offline ist, damit sie Ihre IP-Adresse nicht erhalten können. Um dies zu tun: "Standardmäßig, wenn eine DisposableVM erstellt wird (von Open in DispVM oder Run in DispVM) Innerhalb einer VM, die nicht mit dem Tor-Gateway verbunden ist, kann die neue DisposableVM ihren Datenverkehr über Clearnet weiterleiten. Dies liegt daran, dass DisposableVMs ihre NetVMs vom aufrufenden VM (oder die aufrufende VM dispvm_netvm Einstellung falls abweichend). Das dispvm_netvm Einstellung kann konfiguriert werden pro VM von: dom0 → Qubes VM Manager → VM Settings → Advanced → NetVM for DispVM. "Sie müssen es auf none setzen, damit es nicht mit einem Netzwerk verbunden ist VM und keinen Internetzugang hat).
[3]: Bearbeiten: Diese Antwort erwähnt das Subgraph-Betriebssystem, hoffentlich wenn ein Subgraph Vorlage VM für Qubes erstellt wird Sie können es mit verwenden Qubes, was Exploits erheblich erschwert, und dank der integrierten Sandbox würde ein weiterer Sandbox-Escape-Exploit sowie ein Xen-Exploit erforderlich sein, um Ihre gesamte Maschine zu gefährden.

165
user139336

Am sichersten wäre wahrscheinlich ein Brenner. Besorgen Sie sich einen billigen Laptop und einen mobilen Internet-Dongle, laden Sie damit die Dokumente herunter und kopieren Sie alle Inhalte manuell auf Ihren Hauptcomputer (ein erneutes Tippen wäre am sichersten, wenn Sie sich besonders Sorgen machen). Da es sich nicht in Ihrem Netzwerk befindet, sollte es auch dann keine Probleme verursachen können, wenn es infiziert wurde, und Sie können es löschen oder einfach ablegen, wenn Sie besonders böse Malware erhalten.

Wenn Sie tatsächlichen Inhalt aus den Dateien benötigen (z. B. eingebettete Bilder), besteht eine Möglichkeit darin, einen PDF Druckertreiber auf Ihrem Brennergerät zu installieren und die eingehenden PDF Dateien damit zu drucken - Dies erzeugt eine PDF Ausgabe, aber theoretisch nur die visuellen Komponenten. Drucker benötigen normalerweise keine Skriptelemente, daher können sie sicher gelöscht werden. Denken Sie daran, dass einige PDF Druckertreiber beim Bereitstellen eines PDF-Dokuments erkennen und es einfach unverändert durchlaufen - testen Sie es, bevor Sie sich darauf verlassen! Wenn Sie ein sauberes PDF erhalten haben, senden Sie es per E-Mail an sich selbst und überprüfen Sie es vor dem Öffnen mit einem Virenscanner auf Ihrem Hauptcomputer. Beachten Sie, dass dies die Möglichkeit des Eindringens von Malware nicht vollständig ausschließt, aber die Chancen minimieren sollte.

18
Matthew

Also versuche ich, mich an diese Bedenken im "Land der Vernünftigen" zu halten. Bei jedem Sicherheitsproblem gibt es ein Gleichgewicht zwischen sicheren und anderen. sicher. Sie könnten beispielsweise einen Laptop kaufen, einen PDF, der von der Webmail-Seite Ihres E-Mail-Anbieters geladen wurde, lesen, alle benötigten Inhalte auf einem "Hauptcomputer" erneut eingeben und dann den Laptop zerstören, indem Sie alle starten immer wieder mit einem neuen Laptop. Das wäre ziemlich sicher. Auch teuer und ein riesiger Schmerz.

Also zurück zu einem "vernünftigen" Ansatz.

Verwenden Sie zunächst Linux und einen aktuellen PDF Reader). Auf diese Weise haben Sie Ihre Gefährdung erheblich reduziert. Es sind nicht so viele Viren für Linux geschrieben wie für Windows. Dies allein schützt Sie sind ziemlich viel. Die Viren, die unter Linux funktionieren, sind komplizierter zu implementieren. Reduzieren Sie erneut Ihre Gefährdung.

Verwenden Sie als Nächstes eine virtuelle Maschine, die Snap-Shotting unterstützt. Die Idee ist, dass Sie Ihr Linux-Betriebssystem in einem virtuellen Maschinen-Host (wie VirtualBox) einrichten und alles einrichten, dann "Snapshot" den Status.

Sie können dann alle Ihre "riskanten" Arbeiten in der virtuellen Maschine ausführen. Mit Isolationsoptionen kenne ich keinen Virus, der der virtuellen Maschine "entkommen" und auf die Host-Maschine gelangen kann (bedeutet nicht, dass sie nicht da draußen sind, sondern nur, dass sie für den Angreifer seltener und komplizierter ist ).

Am Ende des Tages oder zu jeder Zeit während des Tages, wenn Sie glauben, einen Virus bekommen zu haben, "setzen" Sie den Computer auf den vorherigen Schnappschuss zurück. Alle Änderungen und Daten, die nach Ihrem Schnappschuss "passiert" sind, werden rückgängig gemacht, einschließlich aller Arbeiten, Viren usw.

Tagsüber können Sie eine PDF-Datei öffnen, mit ClamAV (oder ähnlichem) scannen, kopieren und einfügen, was Sie benötigen oder was auch immer Sie mit den Dateien PDF) tun müssen Dies bedeutet, dass Sie der virtuellen Maschine keinen Zugriff auf die Host-Maschine gewähren. Sie verwenden so etwas wie E-Mail, um die Dateien zu übertragen. Möglicherweise FTP zwischen dem Host und der virtuellen Maschine. Etwas, aber nicht direkt Integration. Auch keine Dropbox. Wenn Sie die Datei übertragen möchten, werden Sie diese eine Datei erst übertragen, wenn Sie sich ziemlich sicher sind, dass sie sicher ist. Wenn Sie einen Linux-Host und einen Linux-Gast verwenden dann ist scp eine gute wahl.

Dies gibt Ihnen eine "ziemlich sichere" Einwegumgebung, in der Sie Ihre fragwürdigen PDF-Dateien überprüfen und eventuell auftretende Schäden "rückgängig machen" können, ohne dass sich in Ihrem Arbeitsablauf wirklich viel ändern muss.

Hosts und Gäste virtueller Maschinen können fast jedes Betriebssystem sein, einschließlich Windows. Beachten Sie, dass die virtuelle Linux-Maschine bei einem Linux-Gast und einem Windows-Host möglicherweise nicht einmal anfällig für einen Virus ist, der sich in der PDF, für die ein Windows-Computer anfällig ist) befindet. Scannen mit einem Antivirenscanner ist wichtig, unabhängig von der verwendeten Betriebssystemkombination.

12
coteyr

Die Verwendung von CubeOS und Einweg-VMs ist ein guter Ansatz.

Einige andere Optionen (die mit CubeOS/DisVM kombiniert werden können):

Deaktivieren Sie das PDF

Sie können dafür Ghostscript verwenden:

gs -dNOPAUSE -dBATCH -sDEVICE=tiffg4 \
  -dDownsampleMonoImages=false \
  -dDownsampleGrayImages=false \
  -dDownsampleColorImages=false \
  -r200 \
  -sOutputFile="$OUTFILE" -c .setpdfwrite -f "$FILE"
tiff2pdf -o "${OUTFILE%.*}.pdf" "$OUTFILE"

Dieses Befehlspaar rendert Ihr PDF als Bild) und bettet dieses Bild dann in ein PDF ein.

Verdächtige PDF-Dateien erkennen

Didier Stevens, ein belgischer InfoSec-Forscher, hat hervorragende Tools zum Erkennen bösartiger PDF -Dateien) geschrieben. Suchen Sie nach einer mit dem Namen pdfid.py

Dieses Tool analysiert den Inhalt von PDF, um potenziell böswillige zu erkennen.

Grundsätzlich sollte ein PDF mit JavaScript- oder Auto-Open-URLs als verdächtig angesehen werden.

Schützen Sie Ihre Werkzeuge

Unabhängig davon, welche Option Sie auswählen, können Ihre Tools zum Ziel Ihres Bedrohungsagenten werden. Patchen Sie sie häufig und führen Sie sie in einer Einweg-/isolierten Umgebung aus.

5
jfs

Das Konvertieren aller PDFs in ein "passiveres" Format - möglicherweise TIFF oder Postscript - kann im Batch erfolgen, in einem eingeschränkten Konto entweder auf dem lokalen Computer oder auf einer Linux-Box/VM. Es ist sehr unwahrscheinlich, dass ein Exploit/eine Malware in ein anderes Dateiformat übertragen wird.

Dateien, die rein böswillig sind, werden nicht einmal so gerendert. Jeder Exploit, der auf beliebte PDF -Betrachter) abzielt, funktioniert wahrscheinlich nicht mit Skript-Konvertierungstools (die hauptsächlich auf der Ghostscript-Engine basieren), und das eingeschränkte Konto verhindert, dass ein erfolgreicher Exploit großen Schaden anrichtet.

Ein normales Benutzerkonto auf einem aktuellen Linux-Computer ist sehr schwer zu "brechen". Stellen Sie jedoch sicher, dass dieser Computer keinen unregulierten Internetzugang hat, da der Netzwerkzugriff am schwierigsten zu kontrollieren ist.

Wenn die Offenlegung des Inhalts der gültigen PDF-Dateien schwerwiegende Folgen hätte, stellen Sie sicher, dass dem Konto, auf dem der Interpreter zu einem bestimmten Zeitpunkt ausgeführt wird, jeweils nur ein PDF) zugänglich ist (z. B. durch Kopieren der Datei in Ein Staging-Speicherort von einem weiteren Benutzerkonto, der den Interpreter über su/Sudo ausführt (nicht Sudo to root!) und dann die Ergebnisdatei entfernt. Spülen, wiederholen.

Oh, und: Halten Sie die Originaldateien von allen (insbesondere Windows-) PCs fern, die für die Vorschau von Dateien im Explorer, in E-Mail-Clients oder ähnlichen Frontends eingerichtet sind!

4
rackandboneman

Abhängig von Ihrem Bedrohungsmodell ist möglicherweise nicht einmal das "Brennergerät" oder der Ansatz einer virtuellen Maschine ausreichend. Wenn ein Angreifer Ihren Standort identifizieren möchte oder wenn ein Spammer überprüfen möchte, ob Ihre E-Mail-Adresse aktiv ist, muss nach dem Öffnen die PDF Telefon zu Hause angezeigt werden Crafty PDFs enthalten möglicherweise sogar Würmer, um andere Computer zu infizieren, obwohl ich das in freier Wildbahn noch nie gesehen habe.

Nach dem Herunterladen der PDF-Datei müssen Sie möglicherweise das Gerät vom Netzwerk trennen, bevor Sie es öffnen.

2
dotancohen

Ich denke, Qubes OS ist eine großartige Option, aber Sie sollten auch einen Blick auf Subgraph OS werfen (Hinweis: Es ist wahrscheinlich noch in der Alpha-Version von 2-2017, sollten Sie wahrscheinlich Warten Sie, bis eine stabilere Version herauskommt, um sich für eine hohe Sicherheit darauf zu verlassen. Es wird standardmäßig mit einem Linux-Kernel ausgeliefert, der mit Grsecurity/PaX gehärtet ist, und es verfügt standardmäßig über Sandboxen für gefährdete Anwendungen wie PDF) reader ( Evince ). Aufgrund der Kernel-Verhärtung würden die meisten Exploits gegen den PDF-Reader gemildert. Wenn sie jedoch erfolgreich sind, dann Der Angreifer ist weiterhin auf die Sandbox ( Oz ) beschränkt, in der sich die PDF läuft,

Die Sandbox verhindert, dass Evince auf vertrauliche Dateien auf dem Computer zugreift, z. B. auf Ihre Verschlüsselungsschlüssel, E-Mails, persönlichen Dokumente usw. Evince benötigt nur Zugriff auf die gelesenen PDFs und einige andere Dateien, die für den normalen Betrieb erforderlich sind.

Die Sandbox begrenzt auch die Arten von Aktionen, die ein Angreifer ausführen kann, z. B. die Begrenzung der Systemaufrufe, die eine Anwendung (die in ser-space ausgeführt wird) ausführen kann, um den Kernel (ausgeführt in kernel-space), um Dinge wie Lesen und Schreiben von Dateien, Kommunikation über das Netzwerk usw. mit einer Linux-Funktion namens seccomp zu erledigen. So verhindert die Sandbox beispielsweise auch, dass der PDF Reader (Evince)) eine Verbindung zum Internet herstellt, wodurch Sie vor einem Angreifer geschützt werden, der Ihre IP-Adresse erhalten möchte, um Ihren Standort zu ermitteln.

Die vollständige Dokumentation zum Öffnen von PDF - Dateien in Subgraph OS finden Sie hier .

1
user140466

Ich würde ein "isoliertes" Gerät nur zum Herunterladen und Öffnen der PDFs empfehlen. Dh. nicht mit dem Rest Ihres Netzwerks verbunden.

Drucken Sie es dann aus (Papier kann keine Malware übertragen).

Danach können Sie es scannen, dann haben Sie eine Kopie im Bildformat. In diesem Fall sollte der Drucker isoliert und nur an das kontaminierte Gerät angeschlossen werden. Der Scanner kann mit dem Rest Ihres Netzwerks verbunden werden.

Wenn Sie einen schnelleren Workflow wünschen, können Sie sie einfach in Bilder umwandeln und dann an sich selbst senden, wenn Sie sie an einem anderen Ort anzeigen müssen. Sie müssen jedoch sicherstellen, dass die E-Mail nicht auf irgendeine Weise infiziert ist. Es wurden keine Links/Bilder/Javascript eingefügt und das Dateiformat ist nicht ausführbar oder pdf.

Dies bedeutet, dass das empfangende Ende nur Text ohne HTML oder Javascript anzeigen muss.

0

Dies ist eine schwächere Antwort (auf Benutzerebene) mit firejail und xpdf und möglicherweise cpulimit :

firejail [...options...] xpdf suspicious.pdf

Mir ist nicht klar, welche Optionen für verdächtige PDF - Dateien) am besten geeignet sind. Diese scheinen zu funktionieren und würden wahrscheinlich funktionieren Deaktivieren Sie die meisten Gemeinheiten:

firejail  --caps.drop=all  --machine-id  --net=none  --nonewprivs  \
          --memory-deny-write-execute --overlay-tmpfs  --seccomp \
          xpdf suspicious.pdf

Wenn Sie befürchten, dass der Verdächtige PDF auch ein CPU-Schwein ist), stellen Sie der ersten Zeile Folgendes voran:

cpulimit -c 1 -l 10 -m -- \

Dies würde firejail und seine untergeordneten Prozesse weiter darauf beschränken, 10% von einem [~ # ~] CPU [~ # ~] .

0
agc