PDFs Sicherheitsrisiko?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
cofxbfzzif
Beiträge: 17
Registriert: 20.07.2015 16:16:15

PDFs Sicherheitsrisiko?

Beitrag von cofxbfzzif » 20.07.2015 16:40:26

Bekanntlich können PDFs ein erhebliches Sicherheitsrisiko darstellen. (Wenn ich richtig informiert bin, spielten diese zuletzt beim Hack des Bundestages eine Rolle...) Wie geht ihr mit PDFs aus zweifelhafter Quelle um? Genügt es, PDFs ausschließlich zum Beispiel mit dem Dokumentenbetrachter (GNOME) zu öffnen?

cronoik
Beiträge: 2049
Registriert: 18.03.2012 21:13:42
Lizenz eigener Beiträge: GNU Free Documentation License

Re: PDFs Sicherheitsrisiko?

Beitrag von cronoik » 20.07.2015 17:05:17

Aus zweifelhafter Quelle öffne ich nichts. Wenn es wichtig ist, wird sich schon jemand melden. Je nachdem wie dein Sicherheitsbedürfnis ist und ob du soetwas öffnen musst, solltest du dir Virenscanner, Container aller Art und [1] ansehen. Es kommt halt auf dein Sicherheitsbedürfnis an inwieweit der Aufwand gerechtfertigt ist.

[1] http://wiki.debianforum.de/X-Anwendunge ... %C3%BChren
Hilf mit unser Wiki zu verbessern!

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: PDFs Sicherheitsrisiko?

Beitrag von rendegast » 20.07.2015 17:12:18

Die Angriffe dürften wohl über js oder eingebettete Bilder/Filme kommen.
Die Viewer unter linux können wohl gar kein PDF-js.

Bei adobe-reader ist das aber leider nicht einfach zu de/aktivieren,
in der Art eines Click-to-Play.

Es gibt eine Vertrauensmodell per Zertifikat und eines beruhend auf den "Sicherheitszonen" des IE.
Das zweitere bringt aber nichts (unter windws), da für den IE in der "Internetzone" i.allg. JS aktiviert ist.
Zuletzt geändert von rendegast am 20.07.2015 17:17:18, insgesamt 1-mal geändert.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: PDFs Sicherheitsrisiko?

Beitrag von Lord_Carlos » 20.07.2015 17:13:29

Kommt das nicht meist wegen den ganzen funktionen die im Adobe Reader aktiviert sind? Da hast du ja flash, java script und andere nette sachen drinne.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

cofxbfzzif
Beiträge: 17
Registriert: 20.07.2015 16:16:15

Re: PDFs Sicherheitsrisiko?

Beitrag von cofxbfzzif » 21.07.2015 18:39:27

Ich komme leider absolut nicht umhin, diese pdfs regelmäßig zu öffnen, möchte aber das Sicherheitsrisiko minimieren.
Cronoik, kannst du das mit den containern etwas erläutern? Kann man die Dateien dann gewissermaßen in Quarantäne öffnen?
Was Virenscanner betrifft: Ich dachte, die suchen nur nach Windowsviren, weil keine Linuxviren existieren??

marfla
Beiträge: 58
Registriert: 18.07.2015 08:56:01

Re: PDFs Sicherheitsrisiko?

Beitrag von marfla » 11.08.2015 18:19:40

cofxbfzzif hat geschrieben:Bekanntlich können PDFs ein erhebliches Sicherheitsrisiko darstellen. (Wenn ich richtig informiert bin, spielten diese zuletzt beim Hack des Bundestages eine Rolle...) Wie geht ihr mit PDFs aus zweifelhafter Quelle um? Genügt es, PDFs ausschließlich zum Beispiel mit dem Dokumentenbetrachter (GNOME) zu öffnen?

Eventuell hilfreich:

https://entwickler.de/online/besuch-im- ... 26456.html

unter Debian

https://docs.docker.com/installation/debian

Cheers.

uname
Beiträge: 12540
Registriert: 03.06.2008 09:33:02

Re: PDFs Sicherheitsrisiko?

Beitrag von uname » 11.08.2015 22:15:17

Ich denke sehr sicher sind kleine PDF-Betrachter wie Debianxpdf. Auch kannst du mit "pdftohtml" (Debianpoppler-utils) auf der Kommandozeile aus dem PDF eine bzw. mehrere HTML-Seiten bauen. Auch glaube ich, dass wenn das PDF wirklich Schadcode enthält dieser wohl nur unter Windows funktioniert.

Benutzeravatar
MartinV
Beiträge: 792
Registriert: 31.07.2015 19:38:52
Wohnort: Hyperion
Kontaktdaten:

Re: PDFs Sicherheitsrisiko?

Beitrag von MartinV » 31.08.2015 00:02:42

Ein Effekt von PDFs kann noch sein, daß sie Inhalte aus dem Internet nachladen. Das muß keine direkte Gefahr sein, gibt aber ein Signal ins Internet, daß das PDF aufgerufen und gelesen wird. Davor wird z.B. im Zusammenhang mit Denanonymisierung und Tracking gewarnt (Im Rahmen der Verwendung von Tor, Jondo etc.)
Bei SPAM-Emails kann dies z.B. die Gültigkeit einer E-Mail-Adresse verifizieren.
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.

tomi89
Beiträge: 269
Registriert: 21.08.2014 00:21:52

Re: PDFs Sicherheitsrisiko?

Beitrag von tomi89 » 31.08.2015 17:54:31

Ich öffne PDF's wo ich mir sicher bin mit firejail und mit der Option --net=none. Somit kann nichts aus dem Inet nachgeladen werden.

Sonstige PDFs öffne ich per Live-CD oder lade sie nur zum Anschauen mit Wget in einer VM runter.

weber174
Beiträge: 2
Registriert: 10.09.2015 04:33:36
Kontaktdaten:

Re: PDFs Sicherheitsrisiko?

Beitrag von weber174 » 25.09.2015 15:41:13

Genau, alles was bedenklich ist öffne ich zumeist in VM.
Ich hatte einmal sogar Tails.

wanne
Moderator
Beiträge: 7664
Registriert: 24.05.2010 12:39:42

Re: PDFs Sicherheitsrisiko?

Beitrag von wanne » 25.09.2015 21:57:56

Ich mahe mir für sowas immer nen eigenen User. Wohl nicht mehr ganz zeitgemäß aber recht bequem.
Dem kann man dann auch per iptables das netz wegnehmen. Funktioniert leider nur noch bedigt, wenn Gnome oder KDE am laufen hat und so über den debus Umweg parktisch alle root rechte jedem user verpasst.
rot: Moderator wanne spricht, default: User wanne spricht.

seeker
Beiträge: 34
Registriert: 06.10.2015 15:49:48

Re: PDFs Sicherheitsrisiko?

Beitrag von seeker » 07.10.2015 14:08:18

tomi89 hat geschrieben:Ich öffne PDF's wo ich mir sicher bin mit firejail
Mache ich auch so, aber warum "wo ich mir sicher bin"? Die Sandbox von Firejail ist m.E. sehr solide. Ich habe mir für Okular (ich benutze KDE) ein Profil gebastelt, in dem ich zusätzlich zu den Standardregeln von Firejail noch diverse weitere Verzeichnisse bzw. Dateien auf die Blacklist gesetzt habe. Da kann nicht mehr viel passieren.

Über

Code: Alles auswählen

xdg-mime query default application/pdf
habe ich
okularApplication_pdf.desktop
ermittelt und mit locate in
/usr/share/applications/kde4/okularApplication_pdf.desktop
gefunden.
Einfach die Exec= Zeile in

Code: Alles auswählen

Exec=firejail --profile=/home/seeker/.config/firejail/okular.profile okular %U %i -caption %c
geändert - und seitdem sind alle PDF-Dateien, die ich z.B. in Icedove (das selbst wiederum in Firejail läuft) als Email-Anhänge öffne, in der Sandbox.

EDIT: Die obige *.desktop Datei sollte man wahrscheinlich mit chattr +i schützen, damit sie nicht bei einem Update überschrieben wird.
Zuletzt geändert von seeker am 07.10.2015 17:28:12, insgesamt 1-mal geändert.

inne
Beiträge: 3304
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: PDFs Sicherheitsrisiko?

Beitrag von inne » 07.10.2015 16:06:25

Apropos Sandbox:
https://sources.debian.net/src/apparmor ... in.evince/

Mit der Regel owner @{HOME}/** rw, aber auch ziemlich sinnlos, finde ich...

seeker
Beiträge: 34
Registriert: 06.10.2015 15:49:48

Re: PDFs Sicherheitsrisiko?

Beitrag von seeker » 07.10.2015 16:56:26

inne hat geschrieben:Apropos Sandbox:
https://sources.debian.net/src/apparmor ... in.evince/

Mit der Regel owner @{HOME}/** rw, aber auch ziemlich sinnlos, finde ich...
Es spricht ja nichts dagegen, Firejail und AppArmor zu kombinieren, wobei Firejail durch seine Möglichkeit, einzelne Verzeichnisse/Dateien zu blacklisten bzw. read-only zu machen, eine Art AppArmor light ist. Auf der anderen Seite sperrt Firejail die entsprechenden Anwendungen in eine SUID-Sandbox ein, filtert Systemaufrufe über seccomp-bpf und blockiert alle Capabilities (gut - Letzteres kann AppArmor auch). Im Grunde bekommt z.B. Firefox mit Firejail die Sandbox, die Mozilla schon lange haben wollte - nämlich eine mit der von Chromium vergleichbare.

inne
Beiträge: 3304
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: PDFs Sicherheitsrisiko?

Beitrag von inne » 07.10.2015 17:21:03

Schadensbegräzung betreibt das AppArmor Profiel für Evience auch: In dem SSH-Keys etc. nicht gelesen werden können.

Aber ich finde es immer doof, wenn auch die privaten Dokuemnte Fotos usw. kopiert werden können...
Meine angepassten Profiele für Web und Mail (Ich lese PDFs mit FF) haben für I/O nur /tmp und glaub ~/Downloads vorgesehen.

Dort fand ich auch schon mal so manche Überraschung...

AndreK
Beiträge: 469
Registriert: 17.05.2007 19:20:58

Re: PDFs Sicherheitsrisiko?

Beitrag von AndreK » 02.12.2015 17:00:19

Einfach ein weiteres sehr restriktives HOME anlegen und dort mit pdfs und so weiter arbeiten. Wenn sich tatsächlich Schadware breit macht, einfach dieses HOME platt machen.

Antworten