ความปลอดภัย PDF - อีกด้านหนึ่งของเหรียญ
อัปเดต:15 กุมภาพันธ์ 2553
ความปลอดภัยของ PDF ดูเหมือนเป็นหัวข้อที่ค่อนข้างคลุมเครือ และมันก็เป็น สำหรับผู้ใช้คอมพิวเตอร์ส่วนใหญ่ เอกสาร PDF เป็นเพียงสื่อกลางของข้อมูล น่าเสียดายที่พวกเขากลายเป็นมากกว่านั้นมาก
เอกสาร PDF ได้รับการพัฒนาจนถึงจุดที่กลายเป็นแอปเพล็ตเชิงโต้ตอบ เต็มไปด้วยสคริปต์และอื่นๆ อีกมากมาย ซึ่งทั้งหมดนี้ช่วยปรับปรุงประสบการณ์ผู้ใช้อย่างมาก แต่อาจนำไปสู่ปัญหาที่อาจเกิดขึ้นได้หากนำไปใช้ในทางที่ผิด เมื่อใช้งานร่วมกับซอฟต์แวร์ PDF ยอดนิยม ซึ่งมักตกเป็นเป้าหมายและใช้ในทางที่ผิด การเปิดเอกสาร PDF อาจกลายเป็นปัญหาด้านความปลอดภัยได้
เราได้พูดคุยเกี่ยวกับช่องโหว่ของ PDF และการบรรเทาผลกระทบที่เป็นไปได้ในบทความที่แล้ว ความจริงที่ต้องบอกด้วยการวางแผนล่วงหน้า ปัญหาต่างๆ ก็สามารถหลีกเลี่ยงได้อย่างง่ายดาย เรียกใช้ระบบปฏิบัติการของคุณด้วยสิทธิ์ที่ลดลง ใช้โปรแกรมทางเลือก และยึดติดกับแหล่งข้อมูลที่มีชื่อเสียง แล้วคุณก็คงจะสบายดี ไม่มีความตื่นตระหนกจริงๆ จริงๆ แล้ว คุณอาจจะอยากถามว่าทำไมฉันถึงอยากเขียนบทความนี้ หลังจากชิ้นสุดท้ายของฉัน
เอาล่ะ วันนี้ผมอยากจะนำเสนอหัวข้อความปลอดภัยของ PDF จากอีกมุมหนึ่ง แม้ว่าวิธีการทั้งหมดที่กล่าวถึงในบทความแรกจะเป็นเทคนิคทั่วไป แต่เป็นเทคนิคการปฏิเสธโดยค่าเริ่มต้นซึ่งใช้ได้ดีเสมอไป แต่ก็ไม่ได้บอกอะไรเราเกี่ยวกับไฟล์ที่อยู่ในมือ กล่าวอีกนัยหนึ่ง เราอาจทำงานกับไฟล์ "เสีย" โดยที่เราไม่รู้ตัว อาจไม่มีความเสี่ยงต่อระบบ แต่ไม่ได้กำจัดวิศวกรรมสังคม นอกจากนี้ หากคุณใช้ระบบที่กำหนดค่าไว้อย่างเหมาะสม คุณจะไม่สนใจว่าไฟล์ใดที่คุณใช้หรือเปิด แต่จะเป็นอย่างไรหากคุณส่งต่อสิ่งที่ไม่ดีไปยังเพื่อนที่ไม่รู้เรื่องล่ะ? นี่คือตัวอย่าง:ผู้ใช้ Linux; พวกเขาไม่จำเป็นต้องสนใจมากนักว่าไฟล์ใดที่พวกเขาเปิดและใช้ในระบบ แต่การส่งต่อไฟล์ที่อาจติดไวรัสไปยังเพื่อน Windows ของพวกเขาอาจทำให้เกิดช่วงเวลาที่น่าอายได้
ทางออกที่ดีที่สุดคือการไม่มีเพื่อน ด้วยวิธีนี้คุณจะไม่ส่งต่อสิ่งที่ไม่ดีให้กับใครเลย แต่เนื่องจากผู้คนมักจะมีเพื่อน เราจะหารือเกี่ยวกับแนวทางการวิเคราะห์เพิ่มเติมสำหรับซอฟต์แวร์ PDF เนื้อหาที่นำเสนอในวันนี้ไม่ได้แทนที่บทเรียนที่ได้เรียนรู้ในบทความแรก มันเติมเต็มพวกเขา - เอาล่ะ
ให้เราเริ่มต้น
หลักปฏิบัติในการใช้งานเพื่อสุขภาพ
ในบทความแนวทางปฏิบัติของ Safe Web ฉันได้สรุปวิธีการบางอย่างที่ผู้ใช้ทั่วไปสามารถนำมาใช้เพื่อลองวิเคราะห์ระดับความดีของไฟล์ที่พวกเขาเพิ่งดาวน์โหลดและต้องการใช้งาน พวกเขาวนเวียนอยู่กับเครื่องสแกนหลายเครื่องออนไลน์ ขอความช่วยเหลือในฟอรัมและ Google ที่มีความสุข นี่ไม่ใช่วิธีที่สมบูรณ์แบบในการจัดการกับสิ่งต่างๆ แต่น่าเสียดายที่บางครั้งก็เป็นเพียงวิธีเดียวเท่านั้น เมื่อมีคนต้องการเรียกใช้ไฟล์ พวกเขาจะเรียกใช้มัน สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือพยายามโน้มน้าวให้พวกเขาทำการตรวจสอบอย่างลวก ๆ ก่อนที่จะรันไฟล์
ปัญหาใหญ่ของการสแกนทุกประเภทคือคุณอาจตั้งค่าสถานะไฟล์ว่าไม่ดี แต่คุณไม่สามารถตั้งค่าสถานะไฟล์ให้ดีได้ หลายคนไม่เข้าใจสิ่งนี้ แต่พวกเขาสาบานว่าโปรแกรมป้องกันไวรัสจะเป็นทางออกที่ศักดิ์สิทธิ์ที่สุดสำหรับทุกคน ฉันต้องการเน้นประเด็นนี้:หากโปรแกรมป้องกันไวรัสของคุณทำเครื่องหมายไฟล์ว่าแย่ มันก็จะน้อยกว่าความชั่วร้ายทั้งหมด เมื่อมีข้อสงสัยก็ไม่มีข้อสงสัย แต่จะเกิดอะไรขึ้นถ้าซอฟต์แวร์นี้ตั้งค่าสถานะไฟล์ว่าสะอาด? สะอาดมั้ย? ไม่ นี่เพียงหมายความว่าไม่ได้ถูกตั้งค่าสถานะว่าแย่ นั่นคือทั้งหมดที่
นี่คือเหตุผลว่าทำไมการใช้ไวท์ลิสต์หรือแนวทางการปฏิเสธโดยค่าเริ่มต้นจึงเป็นวิธีที่ดีที่สุดในการจัดการกับภัยคุกคามทุกประเภท ทุกคนล้วนเป็นศัตรูกัน ยกเว้นเพื่อนที่ถูกเลือกเพียงไม่กี่คน คุณปฏิบัติต่อทุกสิ่งอย่างเลวร้ายและค่อยเป็นค่อยไป ค่อยๆ ปล่อยให้ตัวเลือกต่างๆ เข้ามาอยู่ในแวดวงแห่งความไว้วางใจอย่างระมัดระวัง
บทความเกี่ยวกับช่องโหว่ PDF ของฉันทั้งหมดเกี่ยวกับการไวท์ลิสต์ ปัญหาของไวท์ลิสต์ก็คือคุณไม่ทราบถึงปัญหาใดๆ ที่อาจมีอยู่หรือไม่มีก็ได้ คุณแกว่งไปมาอย่างมีความสุข โดยไม่รู้ถึงความทุกข์ใด ๆ ที่อาจรบกวนผู้อื่น
นี่คือที่มาของการขึ้นบัญชีดำ การขึ้นบัญชีดำหรือที่เรียกว่า default-allow เป็นวิธีการที่คุณเก็บฐานข้อมูลสิ่งไม่ดีไว้ยาวๆ และอัปเดตรายการเป็นระยะๆ จากนั้น เครื่องมือต่างๆ เช่น เครื่องสแกนป้องกันไวรัส จะใช้ฐานข้อมูลเหล่านี้เพื่อพยายามระบุโค้ดที่เป็นอันตราย พวกเขาเรียกใช้รูปแบบการตรวจจับลายเซ็นกับโค้ดที่ปฏิบัติการได้และรายงานกลับไปยังผู้ใช้ วิธีการนี้ค่อนข้างจะเป็นของ Don Quixotic แต่มันกลายเป็นบรรทัดฐานและผู้คนจะทำทุกอย่างที่พวกเขาบอก ตราบใดที่มันเป็นบรรทัดฐาน
การขึ้นบัญชีดำก็เหมือนกับการบังคับใช้กฎหมาย คนส่วนใหญ่ถือว่าบริสุทธิ์จนกว่าจะพิสูจน์ว่ามีความผิด การขึ้นบัญชีขาวนั้นเหมือนกับปี 1984 คุณสามารถอ่านบทความเชิงปรัชญาในหัวข้อนี้ได้ หากคุณสนใจ
ในโลกของซอฟต์แวร์ การไวท์ลิสต์ชนะ - และสังคมก็จะไม่เลวร้ายขนาดนั้นเช่นกัน การขึ้นบัญชีดำค่อนข้างไม่ได้ผล อย่างไรก็ตาม เมื่อทั้งสองอย่างรวมกัน คุณจะได้ผลลัพธ์ที่น่าสนใจทีเดียว เมื่อคุณเติมเค้กน้ำแข็งที่ขึ้นบัญชีขาวด้วยเชอร์รี่ขึ้นบัญชีดำ คุณจะได้รับสูตรที่มีประโยชน์มาก
ไวท์ลิสต์ทำให้คุณมีความสุข การขึ้นบัญชีดำทำให้เพื่อนของคุณมีความสุข คุณรักษาเครื่องของคุณให้อยู่ในสภาพที่ดีและหลีกเลี่ยงการส่งขยะไปยังผู้อื่น ซึ่งจะทำให้วงจรของสแปมและมัลแวร์สั้นลง มันเหมือนกับการเป็นซูเปอร์แมนและการทดสอบวัคซีนไข้หวัดใหญ่สุกรเพื่อประโยชน์ของผู้อื่น
ช่องโหว่ของ PDF
เราเคยพูดถึงเรื่องเหล่านี้มานานแล้ว คุณควรอ่านบทความของฉันในหัวข้อนี้อย่างแน่นอน โดยกล่าวถึงเวกเตอร์การโจมตีที่พบบ่อยที่สุด และวิธีการง่ายๆ ในการบรรเทาผลกระทบ อันดับแรกและสำคัญที่สุดคือการใช้ความระมัดระวังและความอดทน
ตอนนี้ หากคุณต้องการทราบข้อมูลทางเทคนิคและการใช้บัญชีดำ นี่คือชุดเครื่องมือที่จะช่วยคุณได้
เครื่องสแกน PDF คืออะไร?
แน่นอน คนส่วนใหญ่ไม่เคยได้ยินเกี่ยวกับเครื่องมือใด ๆ ที่รองรับไฟล์ PDF โดยเฉพาะ คุณอาจโชคดีกับสแกนเนอร์ anti-X ทั่วไปที่โฆษณาความสามารถอันศักดิ์สิทธิ์ของมันไปทั่ว แต่มีเครื่องมือเฉพาะบางอย่างที่จัดการ PDF ได้
จนกระทั่งเมื่อไม่นานมานี้ ไฟล์ PDF ยังไม่ถือว่าน่าสนใจ แต่การผสมผสานระหว่างสคริปต์อันทรงพลังและ Flash กับ PDF ทำให้เกิดการละเมิดที่สามารถถูกนำไปใช้ประโยชน์ได้ค่อนข้างดี ที่แย่กว่านั้นคือซอฟต์แวร์ PDF และ Flash ที่ได้รับความนิยมสูงสุดมาจากผู้จำหน่ายรายเดียวกัน นั่นคือ Adobe ดังนั้นเมื่อคุณมีปัญหากับซอฟต์แวร์หนึ่ง คุณก็อาจจะมีปัญหากับอีกรายด้วยเช่นกัน
การบรรเทาภัยคุกคาม PDF ทำให้ผู้ใช้ Windows ที่หวาดระแวงจำนวนมากต้องตื่นตระหนกและมีวิธีแก้ไขเพียงเล็กน้อย การใช้บัญชีที่จำกัดและการใช้ซอฟต์แวร์ทางเลือกช่วยแก้ปัญหาได้ แต่มีเพียงไม่กี่คนที่ยินดีลองใช้แนวคิดง่ายๆ ที่น่าทึ่งเหล่านี้
เมื่อเร็ว ๆ นี้ มีเครื่องมือรักษาความปลอดภัย PDF จำนวนหนึ่งเกิดขึ้น ซึ่งทำให้ผู้ใช้ Windows สามารถพยายามระบุไฟล์ที่ไม่ดีได้ ฉันขอย้ำอีกครั้งว่าการอนุญาตพิเศษเป็นวิธีที่นิยมทำสิ่งต่างๆ ตอนนี้ เรามาตรวจสอบเครื่องมือเหล่านี้กัน:
เวปเวท
หน้าแรก
Wepawet เป็นบริการสำหรับวิเคราะห์มัลแวร์บนเว็บ รองรับไฟล์ Flash, Javascript และ PDF คุณสามารถใช้บริการได้โดยการอัพโหลดไฟล์หรือระบุ URL มันง่ายมาก
และนี่คือลักษณะของรายงานตัวอย่าง:
นี่ไม่ได้สมบูรณ์แบบแต่อย่างใด แต่สามารถบอกคุณได้ว่าทั้งหมดนี้เกี่ยวกับอะไร จำไว้ว่าเมื่อมีข้อสงสัยก็ไม่มีข้อสงสัย
PDFiD
หน้าแรก (บทความ)
เครื่องมือนี้จะปิดการใช้งาน Javascript ภายในไฟล์ PDF สิ่งที่ทำคือเขียนชื่อของฟังก์ชันที่เปลี่ยนตัวพิมพ์เล็กเป็นตัวพิมพ์ใหญ่และในทางกลับกัน เนื่องจากภาษา PDF คำนึงถึงขนาดตัวพิมพ์ ซึ่งจะทำให้สคริปต์ไม่มีความหมายและใช้งานไม่ได้ แต่ไม่ได้ป้องกันซอฟต์แวร์ตัวอ่านจากการแสดงเนื้อหาอย่างถูกต้อง พวกเขาจะเพิกเฉยต่อคำแนะนำที่ไม่ดีและข้ามไป
อย่างไรก็ตาม PDFiD เป็นสคริปต์หลามบรรทัดคำสั่ง ดังนั้นคุณจะต้องติดตั้ง Python และเรียกใช้เครื่องมือจากบรรทัดคำสั่ง ไม่มี GUI แฟนซี เช่นเดียวกับ Wepawet เครื่องมือนี้อายุน้อยและเป็นมิตรต่อสิ่งแวดล้อมและอาจมีข้อบกพร่อง แต่ก็ช่วยให้งานสำเร็จได้
นี่คือคำสั่ง:
PDFiD -d <ชื่อไฟล์>.pdf
การดำเนินการนี้จะ "ปลดอาวุธ" ไฟล์ PDF โดยลบ Javascript และสร้างสำเนาชื่อ
เท่าที่ฉันทราบ และอาจเข้าใจผิดได้ว่า PDFiD รวมอยู่ในรายการสแกนเนอร์ VirusTotal ดังนั้นหากคุณทำการสแกนออนไลน์กับไฟล์ที่น่าสงสัย คุณจะมีเครื่องมือมากกว่า 20 รายการในการตรวจสอบความสมบูรณ์ของเนื้อหาที่อัปโหลด รวมถึง PDFiD
โดยทั่วไปนั่นคือทั้งหมดสำหรับวันนี้ สำหรับผู้คลั่งไคล้ขั้นสูง อ่านข้อมูลเพิ่มเติมได้ที่นี่:
PDF นี้เป็นอันตรายหรือไม่?
บทความนี้จะไม่เปลี่ยนคุณให้เป็นทหารกองกำลังพิเศษในรูปแบบ PDF หรืออะไรทำนองนั้น แต่มันมีเครื่องมือพื้นฐานสำหรับการพยายามระบุไฟล์ที่อาจไม่ต้องการ เครื่องมือเหล่านี้ยังห่างไกลจากความสมบูรณ์แบบหรือมีไว้สำหรับการใช้งานจำนวนมาก แต่หากคุณอ่านบทความนี้ คุณอาจไม่ใช่ผู้ใช้คอมพิวเตอร์ทั่วไป
เป็นครั้งที่ล้านแล้ว หากคุณไม่ชอบไฟล์ก็อย่าเปิดมัน สิ่งที่ดีที่สุด เพื่อหลีกเลี่ยงข้อผิดพลาดที่เกิดขึ้นเองที่เกิดจากอาการคันนิ้ว ให้ใช้แอปพลิเคชันทางเลือกและยึดแนวคิดเรื่องสิทธิพิเศษน้อยที่สุด ด้วยวิธีนี้ แม้ว่าคุณจะเรียกใช้ไฟล์ที่ไม่ดี แต่ไฟล์เหล่านั้นก็จะมีขอบเขตความเสียหายที่น้อยกว่ามาก
ฉันขอแนะนำให้ใช้ Wepawet และ PDFiD เมื่อส่งไฟล์ที่คุณเพียงแค่ต้องส่งให้เพื่อนที่มีความรู้น้อยซึ่งมีนิสัยการใช้คอมพิวเตอร์ที่น่ารังเกียจ ในระยะยาวคุณอาจจะไม่ได้สร้างความแตกต่างมากนัก แต่อย่างน้อยคุณก็จะได้ใช้ความพยายามอย่างดีที่สุดแล้ว
ยึดถือไวท์ลิสต์และใช้แบล็คลิสต์เมื่อจัดการไฟล์ที่น่าสงสัยระหว่างทาง ฉันหวังว่าคุณจะชอบบทความนี้ หากคุณมีสิ่งที่ฉลาดก็ควรเพิ่ม อย่าลังเลที่จะส่งอีเมล แล้วพบกันใหม่
ไชโย 
พิเศษ
บทสรุป
