PDF-Sicherheit

classic Classic list List threaded Threaded
13 messages Options
Reply | Threaded
Open this post in threaded view
|

PDF-Sicherheit

Christian Knoke

Hallo,

welche Gefahren gehen eigentlich von PDF-Dateien aus, die ich auf meinem
Debian-System öffne? Zum Beispiel bei dynamischen/aktiven Inhalten, ich
weiss nicht was es da heute so gibt.

Hintergrund: ich bekomme öfter PDF-Dateien als Anhang, deren genauer
Ursprung unklar ist, aber kein Spam.

Gibt es Programme/Tools, mit denen ich PDF sicher öffnen kann?  pdftotext
kenne ich, funktioniert aber nicht immer (ausreichend).

Gruß
Christian

--
http://cknoke.de

Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Jochen Spieker
Christian Knoke:
>
> welche Gefahren gehen eigentlich von PDF-Dateien aus, die ich auf meinem
> Debian-System öffne? Zum Beispiel bei dynamischen/aktiven Inhalten, ich
> weiss nicht was es da heute so gibt.

PDF ist ein hochkomplexes Format, das mehr oder weniger direkt
ausführbaren Code enthält. Das ist schon inhärent nicht wirklich sicher,
das gilt aber für kaum ein sinnvolles Dateiformat. Selbst Plain Text ist
nicht (mehr) ohne, weil UTF an manchen Stellen eklig geworden ist.

Dazu kommt aber natürlich, dass die Anwendungen, mit denen Du die
Dateien verarbeitest, Sicherheitslücken haben können. Da ist Debian so
gut, wie das Minimum von Auditing, Upstream-Support und dem
Security-Team von Debian.

> Hintergrund: ich bekomme öfter PDF-Dateien als Anhang, deren genauer
> Ursprung unklar ist, aber kein Spam.
>
> Gibt es Programme/Tools, mit denen ich PDF sicher öffnen kann?  pdftotext
> kenne ich, funktioniert aber nicht immer (ausreichend).

Wenn Du "Randgruppensoftware" (alles außer Adobe/Microsoft/Apple/Google)
verwendest, ist die Wahrscheinlichkeit wohl gering, dass Du Opfer von
ungezielten Angriffen wirst.

J.
--
I remember Donny Cooper dying live on TV,
[Agree]   [Disagree]
                 <http://archive.slowlydownward.com/NODATA/data_enter2.html>

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Stefan Baur
In reply to this post by Christian Knoke
Am 27.04.19 um 12:13 schrieb Christian Knoke:
>
> Gibt es Programme/Tools, mit denen ich PDF sicher öffnen kann?  pdftotext
> kenne ich, funktioniert aber nicht immer (ausreichend).

Die Frage ist, was Du damit tun willst. Mit PDF2PS kannst Du eine
Postscript-Datei daraus machen, und die dann wiederum in eine Grafik
wandeln versuchen, oder sie direkt auf einen postscriptfähigen Drucker
schicken (es gibt auch direkt PDF-fähige Drucker).

Dann hängt es natürlich trotzdem davon ab, dass die Tools, die dabei zum
Einsatz kommen, sich nicht an einer absichtlich fehlerhaften Datei in
einer Art und Weise verschlucken, dass Schadcode ausgeführt wird - aber
bei PDF2PS steckt ghostscript dahinter, soweit ich weiß, da dürften die
wenigsten Attacken funktionieren, die für Adobe Reader geschrieben sind ...

Gruß
Stefan

Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Christian Knoke
In reply to this post by Jochen Spieker

Hallo Jochen,

vielen Dank.

Jochen Spieker schrieb am 27. Apr um 12:49 Uhr:

> Christian Knoke:
> >
> > welche Gefahren gehen eigentlich von PDF-Dateien aus, die ich auf meinem
> > Debian-System öffne? Zum Beispiel bei dynamischen/aktiven Inhalten, ich
> > weiss nicht was es da heute so gibt.
>
> PDF ist ein hochkomplexes Format, das mehr oder weniger direkt
> ausführbaren Code enthält. Das ist schon inhärent nicht wirklich sicher,
> das gilt aber für kaum ein sinnvolles Dateiformat. Selbst Plain Text ist
> nicht (mehr) ohne, weil UTF an manchen Stellen eklig geworden ist.

Selbst UTF? Oje.

Also "aktive Inhalte" abschalten wie bei Javascript geht nicht?

Dann sollte man zu diesem Zweck mal eine VM starten, oder Container, und die
Datei darin aufmachen?

> Dazu kommt aber natürlich, dass die Anwendungen, mit denen Du die
> Dateien verarbeitest, Sicherheitslücken haben können. Da ist Debian so
> gut, wie das Minimum von Auditing, Upstream-Support und dem
> Security-Team von Debian.

ja, der Teil ist klar.

> > Hintergrund: ich bekomme öfter PDF-Dateien als Anhang, deren genauer
> > Ursprung unklar ist, aber kein Spam.

Gruß
Christian

--
http://cknoke.de

Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Christian Brabandt
In reply to this post by Stefan Baur

Stefan Baur schrieb am Samstag, den 27. April 2019:

> einer Art und Weise verschlucken, dass Schadcode ausgeführt wird - aber
> bei PDF2PS steckt ghostscript dahinter, soweit ich weiß, da dürften die
> wenigsten Attacken funktionieren, die für Adobe Reader geschrieben sind ...

*Hust* Ghostscript ist leider auch hinreichend komplex und kaum schaut
mal jemand genauer hin, fallen jede Menge Bugs raus, die anscheinend
schwer zu beheben sind. Tavis Ormandy hat da letztes Jahr jede Menge
ekliges Zeug gefunden.

Und leider wird ghostscript ja von allen möglichen Desktop Apps genutzt.

Grüße
Christian
--
Wer seine Schüler das Abc gelehrt, hat eine größere Tat vollbracht als
der Feldherr, der eine Schlacht geschlagen.
                -- Gottfried Wilhelm von Leibniz

Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Martin Klaiber
In reply to this post by Stefan Baur
Stefan Baur <[hidden email]> wrote:
> Am 27.04.19 um 12:13 schrieb Christian Knoke:

>> Gibt es Programme/Tools, mit denen ich PDF sicher öffnen kann?  pdftotext
>> kenne ich, funktioniert aber nicht immer (ausreichend).

> Die Frage ist, was Du damit tun willst. Mit PDF2PS kannst Du eine
> Postscript-Datei daraus machen, und die dann wiederum in eine Grafik
> wandeln versuchen, oder sie direkt auf einen postscriptfähigen Drucker
> schicken (es gibt auch direkt PDF-fähige Drucker).

Ist Postscript in diesem Zusammenhang nicht eher gefährlicher, weil es
eine richtige Programmiersprache ist?

> Dann hängt es natürlich trotzdem davon ab, dass die Tools, die dabei zum
> Einsatz kommen, sich nicht an einer absichtlich fehlerhaften Datei in
> einer Art und Weise verschlucken, dass Schadcode ausgeführt wird - aber
> bei PDF2PS steckt ghostscript dahinter, soweit ich weiß, da dürften die
> wenigsten Attacken funktionieren, die für Adobe Reader geschrieben sind ...

Gibt es einen Unterschied zwischen einem PDF für Adobe Reader und
Ghostscript? Ich dachte, PDF sei PDF (abgesehen natürlich von den
Unterschieden zwischen den PDF-Versionen).

Egal wie..., bei einer schnellen Websuche fand ich das hier:

   <https://www.bleepingcomputer.com/news/security/no-patch-available-yet-for-new-major-vulnerability-in-ghostscript-interpreter/>

Ghostscript wurde also offenbar schon erfolgreich für Attacken benutzt,
sofern das keine Fake-News sind.

Viele Grüße
Martin

Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Jochen Spieker
In reply to this post by Christian Knoke
Christian Knoke:

> Jochen Spieker schrieb am 27. Apr um 12:49 Uhr:
>> Christian Knoke:
>>>
>>> welche Gefahren gehen eigentlich von PDF-Dateien aus, die ich auf meinem
>>> Debian-System öffne? Zum Beispiel bei dynamischen/aktiven Inhalten, ich
>>> weiss nicht was es da heute so gibt.
>>
>> PDF ist ein hochkomplexes Format, das mehr oder weniger direkt
>> ausführbaren Code enthält. Das ist schon inhärent nicht wirklich sicher,
>> das gilt aber für kaum ein sinnvolles Dateiformat. Selbst Plain Text ist
>> nicht (mehr) ohne, weil UTF an manchen Stellen eklig geworden ist.
>
> Selbst UTF? Oje.
Naja, ich habe mein Posting etwas unsauber strukturiert. In UTF-8/16/32
ist natürlich kein ausführbarer Code drin. Aber auch ohne das sind die
verschiedenen Varianten erstaunlich komplex und ich würde mich da nicht
über Implementierungsfehler mit Exploit-Potential wundern. Mein Punkt
ist, dass es kein sicheres Dateiformat gibt.

> Also "aktive Inhalte" abschalten wie bei Javascript geht nicht?

Javascript kann in PDF enthalten sein. Ob das jemand außer Adobe
unterstützt, weiß ich nicht.

> Dann sollte man zu diesem Zweck mal eine VM starten, oder Container, und die
> Datei darin aufmachen?

Das wäre sicherer, ja.

J.
--
If I won the lottery I would keep all the money and wallpaper my house
with it.
[Agree]   [Disagree]
                 <http://archive.slowlydownward.com/NODATA/data_enter2.html>

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Gerhard Wolfstieg
In reply to this post by Martin Klaiber
     Hallo Martin, hallo zusammen!

Am Sat, 27 Apr 2019 18:10:48 +0200
schrieb Martin Klaiber <[hidden email]>:

> Stefan Baur <[hidden email]> wrote:
> > Am 27.04.19 um 12:13 schrieb Christian Knoke:  

> > Die Frage ist, was Du damit tun willst. Mit PDF2PS kannst Du eine
> > Postscript-Datei daraus machen, und die dann wiederum in eine Grafik
> > wandeln versuchen, oder sie direkt auf einen postscriptfähigen Drucker
> > schicken (es gibt auch direkt PDF-fähige Drucker).  

Wenn irgendwo PS3(-kompatibel) in Bezug auf einem Drucker steht, meint
das, er kann PDF direkt drucken. Das ist inzwischen bei den PostScript
fähigen Druckern üblich.

> Ist Postscript in diesem Zusammenhang nicht eher gefährlicher, weil es
> eine richtige Programmiersprache ist?

Im Gegenteil! PDF ist eher eine Art Aufsatz auf PostScript. Deswegen
könne PS-Dateien leicht in PDF umgewandelt werden. Und in PS ist meines
Wissens kein javascript oder anderes Scripting möglich (aber hier
lerne ich gerade noch).

> Gibt es einen Unterschied zwischen einem PDF für Adobe Reader und
> Ghostscript? Ich dachte, PDF sei PDF (abgesehen natürlich von den
> Unterschieden zwischen den PDF-Versionen).

Natürlich nicht! Es gibt aber Elemente wie Formularfelder, mit denen
manche Programme nicht klar kommen oder von ihnen nicht unterstützt
werden.

     Grüße, Gerhard


Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Stefan Baur
In reply to this post by Christian Brabandt
Am 27.04.19 um 17:11 schrieb Christian Brabandt:
>> einer Art und Weise verschlucken, dass Schadcode ausgeführt wird - aber
>> bei PDF2PS steckt ghostscript dahinter, soweit ich weiß, da dürften die
>> wenigsten Attacken funktionieren, die für Adobe Reader geschrieben sind ...
> *Hust* Ghostscript ist leider auch hinreichend komplex und kaum schaut
> mal jemand genauer hin, fallen jede Menge Bugs raus, die anscheinend
> schwer zu beheben sind. Tavis Ormandy hat da letztes Jahr jede Menge
> ekliges Zeug gefunden.
>
> Und leider wird ghostscript ja von allen möglichen Desktop Apps genutzt.

Ja, aber eben nicht von Adobe Reader, worauf die meiste
PDF-Schadsoftware zielen dürfte.

Gruß
Stefan

Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Stefan Baur
In reply to this post by Martin Klaiber
Am 27.04.19 um 18:10 schrieb Martin Klaiber:
> Gibt es einen Unterschied zwischen einem PDF für Adobe Reader und
> Ghostscript? Ich dachte, PDF sei PDF (abgesehen natürlich von den
> Unterschieden zwischen den PDF-Versionen).

Der PDF-Standard ist der selbe, die Implementierungen der jeweiligen
Anwendungen unterscheiden sich jedoch. Es *sollte* hinterher überall das
gleiche rauskommen, aber grau ist alle Theorie. Und nur weil das
Ergebnis das gleiche ist, heißt das auch nicht, dass es auf dem gleichen
Weg erreicht wird.


> Egal wie..., bei einer schnellen Websuche fand ich das hier:
>
>    <https://www.bleepingcomputer.com/news/security/no-patch-available-yet-for-new-major-vulnerability-in-ghostscript-interpreter/>
>
> Ghostscript wurde also offenbar schon erfolgreich für Attacken benutzt,
> sofern das keine Fake-News sind.

Natürlich. Es ist aber die Frage, was das Bedrohungsszenario sein soll.
Rechnest Du mit einem Angreifer, der Windows-User mit original Acrobat
Reader kapern will, weil "low hanging fruit", oder mit einem, der
gezielt Dich angreift, weil er weiß, dass Du Linux-User mit Ghostscript
bist?

Gruß
Stefan

Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Stefan Baur
In reply to this post by Jochen Spieker
Am 27.04.19 um 19:55 schrieb Jochen Spieker:
>> Dann sollte man zu diesem Zweck mal eine VM starten, oder Container, und die
>> Datei darin aufmachen?
> Das wäre sicherer, ja.

Auch aus Containern/VMs kann man mit passendem Exploit-Code ausbrechen -
der auch in einem bösartigen PDF eingepackt sein kann.

Wie gesagt: Es kommt auf das konkrete Bedrohungsszenario an, vor dem man
sich schützen will.

Hardcore-Ansatz wäre eine Kiste mit Hardware-Schreibschutz für (U)EFI
oder klassisches BIOS/CMOS, keine Festplatte, Booten eines Live-Systems
von DVD/CDROM oder USB-Stick mit echtem Schreibschutzschalter, und dann
das zu untersuchende PDF per USB-Stick auf diesen Rechner transferieren
- keine Netzwerkanbindung.

Gruß
Stefan


signature.asc (499 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Jochen Spieker
In reply to this post by Martin Klaiber
Martin Klaiber:
>
> Ist Postscript in diesem Zusammenhang nicht eher gefährlicher, weil es
> eine richtige Programmiersprache ist?

PDF enthält laut Wikipedia eine Teilmenge der Programmiersprache aus
PostScript:

https://en.wikipedia.org/wiki/PDF#Technical_foundations

Inwieweit das dadurch weniger gefährlich ist, weiß ich nicht.

> Gibt es einen Unterschied zwischen einem PDF für Adobe Reader und
> Ghostscript? Ich dachte, PDF sei PDF (abgesehen natürlich von den
> Unterschieden zwischen den PDF-Versionen).

Siehe auch den Artikel oben. Nicht alle Interpreter unterstützen die
komplette Spec, insbesondere eingebettetes Javascript.

> Egal wie..., bei einer schnellen Websuche fand ich das hier:
>
>    <https://www.bleepingcomputer.com/news/security/no-patch-available-yet-for-new-major-vulnerability-in-ghostscript-interpreter/>
>
> Ghostscript wurde also offenbar schon erfolgreich für Attacken benutzt,
> sofern das keine Fake-News sind.

Ja, Ghostscript ist hinreichend zerlegt worden. Das stellt sich mir
ähnlich dar, wie das OpenSSL-Debakel. Uraltes Mistzeug in C, das
auseinanderfällt, wenn sich mal jemand die Mühe macht, das näher
anzuschauen. Da gibt es sicher noch viel mehr von auf einem
durchschnittlichen Linux-System. PuTTY (ja, eher Windows) ist ja auch
gerade durch bloßes Hinschauen kaputtgegangen.

Die Frage ist, ob sich jemand die Mühe macht, das auszunutzen. Ich halte
Verwundbarkeiten, die ein Linux-System jenseits der üblichen
Serverdienste angreifbar machen, für wenig praxisrelevant -- außer bei
gezielten Angriffen, natürlich. Aber das ist reines Bauchgefühl.

J.
--
Atrocities committed in Rwanda pervade my mind when I am discussing
mundanities with acquaintances.
[Agree]   [Disagree]
                 <http://archive.slowlydownward.com/NODATA/data_enter2.html>

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: PDF-Sicherheit

Martin Klaiber
In reply to this post by Gerhard Wolfstieg
Gerhard Wolfstieg <[hidden email]> wrote:
> Am Sat, 27 Apr 2019 18:10:48 +0200
> schrieb Martin Klaiber <[hidden email]>:

>> Ist Postscript in diesem Zusammenhang nicht eher gefährlicher, weil es
>> eine richtige Programmiersprache ist?

> Im Gegenteil! PDF ist eher eine Art Aufsatz auf PostScript. Deswegen
> könne PS-Dateien leicht in PDF umgewandelt werden. Und in PS ist meines
> Wissens kein javascript oder anderes Scripting möglich (aber hier
> lerne ich gerade noch).

Aber Postscript ist eine vollwertige Programmiersprache, mit der man
im Prinzip beliebige Programme schreiben kann. Das geht, so weit ich
weiß, in PDF nicht. PDF ist eine Seitenbeschreibungssprache. Das ist
Postscript zwar auch, aber nicht nur.

Schau mal hier:

   <https://www.security-insider.de/netzwerkdrucker-noch-immer-unterschaetze-schwachstelle-a-812457/>

und hier:

   <http://karl-haller.de/PostScript/Dv2-04.pdf>

Ab S. 26 demonstriert der Autor, wie man ein in Pascal geschriebenes
Programm in Postscript formulieren kann. Geht das in PDF auch? Meines
Wissens nicht, weil PDF keine Schleifen, Prozeduren, usw. kennt.

Aber ich bin far from being an expert. Vielleicht täusche ich mich und
PDF ist genauso kritisch (oder sogar kritischer) bezüglich malware.

Viele Grüße
Martin