Cerca nel blog

2010/04/09

PDF trappola, non c’è tregua

Un PDF può diventare un worm


Mi sa che è ora di riscrivere la regola 11 del mio piccolo dodecalogo. Non mi lamento: ha retto benino per quasi sette anni, che in informatica sono un'eternità. Ma il consiglio di usare PDF come formato di scambio sicuro di documenti sta diventando una trappola.

The Register segnala che Didier Stevens, ricercatore di sicurezza, ha dimostrato che è possibile annidare codice ostile eseguibile – un virus, insomma – all'interno di un documento PDF. Aprendo un documento del genere con Adobe Reader, normalmente compare una finestra di dialogo che chiede all'utente se vuole procedere, ma Stevens è riuscito a manipolarne il testo in modo che inganni buona parte degli utenti. Disabilitare Javascript è inutile e non è possibile rimediare aggiornando Reader, perché secondo Stevens non si tratta di una vulnerabilità, ma soltanto di un uso "creativo delle specifiche del linguaggio PDF". Sono disponibili un video e un PDF dimostrativo.

Stevens ha già condiviso la propria scoperta con Adobe, nella speranza che venga trovata una soluzione. I programmi alternativi di lettura di documenti PDF non se la cavano meglio: fino a pochi giorni fa, Foxit Reader non visualizzava nessun avviso (il problema è stato corretto con la versione 3.2.1, rilasciata il primo d'aprile, secondo questa comunicazione).

Il problema è appunto che l'esecuzione di applicazioni e di Javascript e l'invio di dati a un URL (quindi, per esempio, a un sito Internet) fa parte delle specifiche del formato PDF (tabella 198 delle specifiche stesse, segnalata da F-Secure).

Jeremy Conway di NitroSecurity ha rincarato la dose, partendo dalla segnalazione di Stevens e dimostrando come sia possibile infettare un documento PDF in modo che infetti tutti gli altri PDF del computer e della rete locale (per esempio quella aziendale) in modo invisibile all'utente: un documento PDF diventa insomma un worm. Lo spiegone e il video sono qui su Sudosecure.net (nome quanto mai azzeccato, visto che questa magagna farà sudare di sicuro molti utenti).

Che fare? In attesa che i produttori di software di lettura dei documenti PDF trovino una soluzione, F-Secure consiglia di non aprire i documenti PDF sul proprio computer, ma di visualizzarli tramite servizi come Google Documenti: un'operazione automatizzabile mediante plug-in per i browser, come gPDF (usabile in Chrome, Opera, Firefox e Iron, che è una variante meno ficcanaso di Chrome/Chromium) per i documenti PDF che trovate online, oppure usando un programma di lettura di PDF poco diffuso, sulla base del principio che un programma poco conosciuto sarà oggetto di minore interesse da parte degli aggressori. Conway suggerisce invece l'uso di un programma di lettura minimalista, che non supporti le funzioni avanzate delle specifiche PDF.

Come dargli torto: l'errore di fondo è che l'evoluzione delle specifiche PDF ha snaturato il formato, che era nato per consentire la visualizzazione universale di documenti ma ora ha trasformato i documenti in file eseguibili. Sarò un informatico vecchio stile, ma non mi sembra eccessivo o retrogrado chiedere che un documento resti un documento e non si travesta da programma, visti i rischi che ne derivano. In altre parole, less is more: avere meno funzioni significa avere più sicurezza.

Nessun commento: