Tuesday, March 9, 2010

Trabajando con PDF's : The hurt locker



220.000.000 documentos en formato PDF indexados por google. 220 millones de potenciales bombas diseminadas en internet.

PDF paso con el tiempo a ocupar el lugar del monstruo de nuestras pesadillas, que ocupo años atrás el formato .doc de Microsoft.

El formato abierto de los documentos PDF, su posibilidad de utilizarlo en diversas plataformas, la poca seguridad en las aplicaciones de Adobe y la relación directa de estos documentos con internet por su "poco peso", lo volvieron el objetivo de la cyberdelincuencia.



Existen exploits que utilizan PDF como vector de ataque en los mas diversos sistemas.

Si bien Adobe tomo la iniciativa de mejorar el codigo de sus productos a mitad del año pasado, luego de casi 8 meses, aun los problemas continúan.

Adobe plugs more gaping holes in PDF Reader


Según el ultimo informe de IBM, el uso de PDF como vector de ataque se incremento dramáticamente en el ultimo año.




Se han convertidos trabajar con documentos PDF en la experiencia de comer Pez Globo ?




Podemos pensar en eso, cuando leemos las palabras de Stephen Northcutt, presidente de The SANS Technology Institute.

En un documento de Agosto del 2009, Northcutt afirmo :

“I think organizations should avoid Adobe if possible. Adobe security appears to be out of control, and using their products seems to put your organization at risk. Try to minimize your attack surface. Limit the use of Adobe products where you can.”


En el ultimo reporte de ScanSafe, patrocinado por Cisco, uno de los puntos destacados es que 56% de los exploits encontrados durante el primer cuatrimestre del 2009 correspondían a documentos PDF comprometidos, para el ultimo cuatrimestre del 2009, esta cifra sufrió al 80%.



Como podemos protegernos ?

La regla de oro, es no bajar documentos PDF de sitios no confiables o de mails que provengan de personas desconocidas.

Una vez que se aplica esta regla al firewall que se encuentra entre la silla y el ordenador, podemos incrementar aun mas la seguridad si :

Trabajamos con un usuario sin privilegios.

Luego el siguiente nivel de protección esta dado por la configuración de nuestro Adobe Reader.
Vamos a Edición --> Preferencias y realizamos las siguientes modificaciones :

Multimedia Trust Debe ser deshabilitado (previene las conexiones IP directas )


Javascript debe ser deshabilitado. ( Ejecutar código en un documento, no me parece buena idea, por eso usamos Noscript en nuestros browsers )



Internet: Prohibir mostrar PDF en el browser ( previene conexiones IP directas )


También es importante estar atentos cuando instalamos drivers de dispositivos, muchas veces junto con el driver vienen versiones de Adobe Reader totalmente desactualizadas.

Mantener actualizado el Adobe Reader.


Estos puntos que vemos, pueden aun llevarse a un nivel de seguridad mayor si ejecutamos el Reader dentro de una sandbox. Pero eso realmente escapa al post actual.


Informacion adicional.

Para quienes no manejen información confidencial y no tengan confianza en los documentos con el cual trabajaran, esta la posibilidad de utilizar este sitio, el cual busca código malicioso dentro de PDF's.

El nivel de Paranoia 5 esta dado por realizar una revision del PDF que bajamos
mediante, Origami un programa preparado para este tipo de tareas.

Existen mejores alternativas que Adobe Reader para los usuarios de Windows
FoxitReader


Conocen otras buenas practicas para el uso seguro de PDF's ?

No comments: