PDFs Sicherheitsrisiko?

[cofxbfzzif]

Bekanntlich können PDFs ein erhebliches Sicherheitsrisiko darstellen. (Wenn ich richtig informiert bin, spielten diese zuletzt beim Hack des Bundestages eine Rolle...) Wie geht ihr mit PDFs aus zweifelhafter Quelle um? Genügt es, PDFs ausschließlich zum Beispiel mit dem Dokumentenbetrachter (GNOME) zu öffnen?

[cronoik]

Aus zweifelhafter Quelle öffne ich nichts. Wenn es wichtig ist, wird sich schon jemand melden. Je nachdem wie dein Sicherheitsbedürfnis ist und ob du soetwas öffnen musst, solltest du dir Virenscanner, Container aller Art und [1] ansehen. Es kommt halt auf dein Sicherheitsbedürfnis an inwieweit der Aufwand gerechtfertigt ist.

[1] http://wiki.debianforum.de/X-Anwendunge ... %C3%BChren

[rendegast]

Die Angriffe dürften wohl über js oder eingebettete Bilder/Filme kommen.
Die Viewer unter linux können wohl gar kein PDF-js.

Bei adobe-reader ist das aber leider nicht einfach zu de/aktivieren,
in der Art eines Click-to-Play.

Es gibt eine Vertrauensmodell per Zertifikat und eines beruhend auf den "Sicherheitszonen" des IE.
Das zweitere bringt aber nichts (unter windws), da für den IE in der "Internetzone" i.allg. JS aktiviert ist.

[Lord_Carlos]

Kommt das nicht meist wegen den ganzen funktionen die im Adobe Reader aktiviert sind? Da hast du ja flash, java script und andere nette sachen drinne.

[cofxbfzzif]

Ich komme leider absolut nicht umhin, diese pdfs regelmäßig zu öffnen, möchte aber das Sicherheitsrisiko minimieren.
Cronoik, kannst du das mit den containern etwas erläutern? Kann man die Dateien dann gewissermaßen in Quarantäne öffnen?
Was Virenscanner betrifft: Ich dachte, die suchen nur nach Windowsviren, weil keine Linuxviren existieren??

[marfla]

Bekanntlich können PDFs ein erhebliches Sicherheitsrisiko darstellen. (Wenn ich richtig informiert bin, spielten diese zuletzt beim Hack des Bundestages eine Rolle...) Wie geht ihr mit PDFs aus zweifelhafter Quelle um? Genügt es, PDFs ausschließlich zum Beispiel mit dem Dokumentenbetrachter (GNOME) zu öffnen?

Eventuell hilfreich:

https://entwickler.de/online/besuch-im- ... 26456.html

unter Debian

https://docs.docker.com/installation/debian

Cheers.

[uname]

Ich denke sehr sicher sind kleine PDF-Betrachter wie xpdf. Auch kannst du mit "pdftohtml" (poppler-utils) auf der Kommandozeile aus dem PDF eine bzw. mehrere HTML-Seiten bauen. Auch glaube ich, dass wenn das PDF wirklich Schadcode enthält dieser wohl nur unter Windows funktioniert.

[MartinV]

Ein Effekt von PDFs kann noch sein, daß sie Inhalte aus dem Internet nachladen. Das muß keine direkte Gefahr sein, gibt aber ein Signal ins Internet, daß das PDF aufgerufen und gelesen wird. Davor wird z.B. im Zusammenhang mit Denanonymisierung und Tracking gewarnt (Im Rahmen der Verwendung von Tor, Jondo etc.)
Bei SPAM-Emails kann dies z.B. die Gültigkeit einer E-Mail-Adresse verifizieren.

[tomi89]

Ich öffne PDF's wo ich mir sicher bin mit firejail und mit der Option --net=none. Somit kann nichts aus dem Inet nachgeladen werden.

Sonstige PDFs öffne ich per Live-CD oder lade sie nur zum Anschauen mit Wget in einer VM runter.

[weber174]

Genau, alles was bedenklich ist öffne ich zumeist in VM.
Ich hatte einmal sogar Tails.

[wanne]

Ich mahe mir für sowas immer nen eigenen User. Wohl nicht mehr ganz zeitgemäß aber recht bequem.
Dem kann man dann auch per iptables das netz wegnehmen. Funktioniert leider nur noch bedigt, wenn Gnome oder KDE am laufen hat und so über den debus Umweg parktisch alle root rechte jedem user verpasst.

[seeker]

Ich öffne PDF's wo ich mir sicher bin mit firejail

Mache ich auch so, aber warum "wo ich mir sicher bin"? Die Sandbox von Firejail ist m.E. sehr solide. Ich habe mir für Okular (ich benutze KDE) ein Profil gebastelt, in dem ich zusätzlich zu den Standardregeln von Firejail noch diverse weitere Verzeichnisse bzw. Dateien auf die Blacklist gesetzt habe. Da kann nicht mehr viel passieren.

Über

Code: Alles auswählen

xdg-mime query default application/pdf

habe ich

okularApplication_pdf.desktop

ermittelt und mit locate in

/usr/share/applications/kde4/okularApplication_pdf.desktop

gefunden.
Einfach die Exec= Zeile in

Code: Alles auswählen

Exec=firejail --profile=/home/seeker/.config/firejail/okular.profile okular %U %i -caption %c

geändert - und seitdem sind alle PDF-Dateien, die ich z.B. in Icedove (das selbst wiederum in Firejail läuft) als Email-Anhänge öffne, in der Sandbox.

EDIT: Die obige *.desktop Datei sollte man wahrscheinlich mit chattr +i schützen, damit sie nicht bei einem Update überschrieben wird.

[inne]

Apropos Sandbox:
https://sources.debian.net/src/apparmor ... in.evince/

Mit der Regel owner @{HOME}/** rw, aber auch ziemlich sinnlos, finde ich...

[seeker]

Apropos Sandbox:
https://sources.debian.net/src/apparmor ... in.evince/

Mit der Regel owner @{HOME}/** rw, aber auch ziemlich sinnlos, finde ich...

Es spricht ja nichts dagegen, Firejail und AppArmor zu kombinieren, wobei Firejail durch seine Möglichkeit, einzelne Verzeichnisse/Dateien zu blacklisten bzw. read-only zu machen, eine Art AppArmor light ist. Auf der anderen Seite sperrt Firejail die entsprechenden Anwendungen in eine SUID-Sandbox ein, filtert Systemaufrufe über seccomp-bpf und blockiert alle Capabilities (gut - Letzteres kann AppArmor auch). Im Grunde bekommt z.B. Firefox mit Firejail die Sandbox, die Mozilla schon lange haben wollte - nämlich eine mit der von Chromium vergleichbare.

[inne]

Schadensbegräzung betreibt das AppArmor Profiel für Evience auch: In dem SSH-Keys etc. nicht gelesen werden können.

Aber ich finde es immer doof, wenn auch die privaten Dokuemnte Fotos usw. kopiert werden können...
Meine angepassten Profiele für Web und Mail (Ich lese PDFs mit FF) haben für I/O nur /tmp und glaub ~/Downloads vorgesehen.

Dort fand ich auch schon mal so manche Überraschung...

[AndreK]

Einfach ein weiteres sehr restriktives HOME anlegen und dort mit pdfs und so weiter arbeiten. Wenn sich tatsächlich Schadware breit macht, einfach dieses HOME platt machen.