PDFs Sicherheitsrisiko?
-
- Beiträge: 17
- Registriert: 20.07.2015 16:16:15
PDFs Sicherheitsrisiko?
Bekanntlich können PDFs ein erhebliches Sicherheitsrisiko darstellen. (Wenn ich richtig informiert bin, spielten diese zuletzt beim Hack des Bundestages eine Rolle...) Wie geht ihr mit PDFs aus zweifelhafter Quelle um? Genügt es, PDFs ausschließlich zum Beispiel mit dem Dokumentenbetrachter (GNOME) zu öffnen?
-
- Beiträge: 2049
- Registriert: 18.03.2012 21:13:42
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: PDFs Sicherheitsrisiko?
Aus zweifelhafter Quelle öffne ich nichts. Wenn es wichtig ist, wird sich schon jemand melden. Je nachdem wie dein Sicherheitsbedürfnis ist und ob du soetwas öffnen musst, solltest du dir Virenscanner, Container aller Art und [1] ansehen. Es kommt halt auf dein Sicherheitsbedürfnis an inwieweit der Aufwand gerechtfertigt ist.
[1] http://wiki.debianforum.de/X-Anwendunge ... %C3%BChren
[1] http://wiki.debianforum.de/X-Anwendunge ... %C3%BChren
Hilf mit unser Wiki zu verbessern!
Re: PDFs Sicherheitsrisiko?
Die Angriffe dürften wohl über js oder eingebettete Bilder/Filme kommen.
Die Viewer unter linux können wohl gar kein PDF-js.
Bei adobe-reader ist das aber leider nicht einfach zu de/aktivieren,
in der Art eines Click-to-Play.
Es gibt eine Vertrauensmodell per Zertifikat und eines beruhend auf den "Sicherheitszonen" des IE.
Das zweitere bringt aber nichts (unter windws), da für den IE in der "Internetzone" i.allg. JS aktiviert ist.
Die Viewer unter linux können wohl gar kein PDF-js.
Bei adobe-reader ist das aber leider nicht einfach zu de/aktivieren,
in der Art eines Click-to-Play.
Es gibt eine Vertrauensmodell per Zertifikat und eines beruhend auf den "Sicherheitszonen" des IE.
Das zweitere bringt aber nichts (unter windws), da für den IE in der "Internetzone" i.allg. JS aktiviert ist.
Zuletzt geändert von rendegast am 20.07.2015 17:17:18, insgesamt 1-mal geändert.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: PDFs Sicherheitsrisiko?
Kommt das nicht meist wegen den ganzen funktionen die im Adobe Reader aktiviert sind? Da hast du ja flash, java script und andere nette sachen drinne.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
-
- Beiträge: 17
- Registriert: 20.07.2015 16:16:15
Re: PDFs Sicherheitsrisiko?
Ich komme leider absolut nicht umhin, diese pdfs regelmäßig zu öffnen, möchte aber das Sicherheitsrisiko minimieren.
Cronoik, kannst du das mit den containern etwas erläutern? Kann man die Dateien dann gewissermaßen in Quarantäne öffnen?
Was Virenscanner betrifft: Ich dachte, die suchen nur nach Windowsviren, weil keine Linuxviren existieren??
Cronoik, kannst du das mit den containern etwas erläutern? Kann man die Dateien dann gewissermaßen in Quarantäne öffnen?
Was Virenscanner betrifft: Ich dachte, die suchen nur nach Windowsviren, weil keine Linuxviren existieren??
Re: PDFs Sicherheitsrisiko?
cofxbfzzif hat geschrieben:Bekanntlich können PDFs ein erhebliches Sicherheitsrisiko darstellen. (Wenn ich richtig informiert bin, spielten diese zuletzt beim Hack des Bundestages eine Rolle...) Wie geht ihr mit PDFs aus zweifelhafter Quelle um? Genügt es, PDFs ausschließlich zum Beispiel mit dem Dokumentenbetrachter (GNOME) zu öffnen?
Eventuell hilfreich:
https://entwickler.de/online/besuch-im- ... 26456.html
unter Debian
https://docs.docker.com/installation/debian
Cheers.
Re: PDFs Sicherheitsrisiko?
Ich denke sehr sicher sind kleine PDF-Betrachter wie
xpdf. Auch kannst du mit "pdftohtml" (
poppler-utils) auf der Kommandozeile aus dem PDF eine bzw. mehrere HTML-Seiten bauen. Auch glaube ich, dass wenn das PDF wirklich Schadcode enthält dieser wohl nur unter Windows funktioniert.


Re: PDFs Sicherheitsrisiko?
Ein Effekt von PDFs kann noch sein, daß sie Inhalte aus dem Internet nachladen. Das muß keine direkte Gefahr sein, gibt aber ein Signal ins Internet, daß das PDF aufgerufen und gelesen wird. Davor wird z.B. im Zusammenhang mit Denanonymisierung und Tracking gewarnt (Im Rahmen der Verwendung von Tor, Jondo etc.)
Bei SPAM-Emails kann dies z.B. die Gültigkeit einer E-Mail-Adresse verifizieren.
Bei SPAM-Emails kann dies z.B. die Gültigkeit einer E-Mail-Adresse verifizieren.
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: PDFs Sicherheitsrisiko?
Ich öffne PDF's wo ich mir sicher bin mit firejail und mit der Option --net=none. Somit kann nichts aus dem Inet nachgeladen werden.
Sonstige PDFs öffne ich per Live-CD oder lade sie nur zum Anschauen mit Wget in einer VM runter.
Sonstige PDFs öffne ich per Live-CD oder lade sie nur zum Anschauen mit Wget in einer VM runter.
Re: PDFs Sicherheitsrisiko?
Genau, alles was bedenklich ist öffne ich zumeist in VM.
Ich hatte einmal sogar Tails.
Ich hatte einmal sogar Tails.
Re: PDFs Sicherheitsrisiko?
Ich mahe mir für sowas immer nen eigenen User. Wohl nicht mehr ganz zeitgemäß aber recht bequem.
Dem kann man dann auch per iptables das netz wegnehmen. Funktioniert leider nur noch bedigt, wenn Gnome oder KDE am laufen hat und so über den debus Umweg parktisch alle root rechte jedem user verpasst.
Dem kann man dann auch per iptables das netz wegnehmen. Funktioniert leider nur noch bedigt, wenn Gnome oder KDE am laufen hat und so über den debus Umweg parktisch alle root rechte jedem user verpasst.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: PDFs Sicherheitsrisiko?
Mache ich auch so, aber warum "wo ich mir sicher bin"? Die Sandbox von Firejail ist m.E. sehr solide. Ich habe mir für Okular (ich benutze KDE) ein Profil gebastelt, in dem ich zusätzlich zu den Standardregeln von Firejail noch diverse weitere Verzeichnisse bzw. Dateien auf die Blacklist gesetzt habe. Da kann nicht mehr viel passieren.tomi89 hat geschrieben:Ich öffne PDF's wo ich mir sicher bin mit firejail
Über
Code: Alles auswählen
xdg-mime query default application/pdf
ermittelt und mit locate inokularApplication_pdf.desktop
gefunden./usr/share/applications/kde4/okularApplication_pdf.desktop
Einfach die Exec= Zeile in
Code: Alles auswählen
Exec=firejail --profile=/home/seeker/.config/firejail/okular.profile okular %U %i -caption %c
EDIT: Die obige *.desktop Datei sollte man wahrscheinlich mit chattr +i schützen, damit sie nicht bei einem Update überschrieben wird.
Zuletzt geändert von seeker am 07.10.2015 17:28:12, insgesamt 1-mal geändert.
-
- Beiträge: 3304
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: PDFs Sicherheitsrisiko?
Apropos Sandbox:
https://sources.debian.net/src/apparmor ... in.evince/
Mit der Regel owner @{HOME}/** rw, aber auch ziemlich sinnlos, finde ich...
https://sources.debian.net/src/apparmor ... in.evince/
Mit der Regel owner @{HOME}/** rw, aber auch ziemlich sinnlos, finde ich...
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Re: PDFs Sicherheitsrisiko?
Es spricht ja nichts dagegen, Firejail und AppArmor zu kombinieren, wobei Firejail durch seine Möglichkeit, einzelne Verzeichnisse/Dateien zu blacklisten bzw. read-only zu machen, eine Art AppArmor light ist. Auf der anderen Seite sperrt Firejail die entsprechenden Anwendungen in eine SUID-Sandbox ein, filtert Systemaufrufe über seccomp-bpf und blockiert alle Capabilities (gut - Letzteres kann AppArmor auch). Im Grunde bekommt z.B. Firefox mit Firejail die Sandbox, die Mozilla schon lange haben wollte - nämlich eine mit der von Chromium vergleichbare.inne hat geschrieben:Apropos Sandbox:
https://sources.debian.net/src/apparmor ... in.evince/
Mit der Regel owner @{HOME}/** rw, aber auch ziemlich sinnlos, finde ich...
-
- Beiträge: 3304
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: PDFs Sicherheitsrisiko?
Schadensbegräzung betreibt das AppArmor Profiel für Evience auch: In dem SSH-Keys etc. nicht gelesen werden können.
Aber ich finde es immer doof, wenn auch die privaten Dokuemnte Fotos usw. kopiert werden können...
Meine angepassten Profiele für Web und Mail (Ich lese PDFs mit FF) haben für I/O nur /tmp und glaub ~/Downloads vorgesehen.
Dort fand ich auch schon mal so manche Überraschung...
Aber ich finde es immer doof, wenn auch die privaten Dokuemnte Fotos usw. kopiert werden können...
Meine angepassten Profiele für Web und Mail (Ich lese PDFs mit FF) haben für I/O nur /tmp und glaub ~/Downloads vorgesehen.
Dort fand ich auch schon mal so manche Überraschung...
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Re: PDFs Sicherheitsrisiko?
Einfach ein weiteres sehr restriktives HOME anlegen und dort mit pdfs und so weiter arbeiten. Wenn sich tatsächlich Schadware breit macht, einfach dieses HOME platt machen.