Bezbednost PDF dokumenata

Skoro svakodnevno otvaramo neke PDF dokumente, koje preuzmemo sa interneta ili ih dobijemo na drugi nacin. Ali malo ko je svestan, da i PDF dokumenti mogu da budu potencijalno opasni. PDF dokumenti mogu da sadrze Java skripte. Te Java skripte mogu da se automatski izvrse bez znanja korisnika. Upravo ta mogucnost automatskog izvrsavanja Java skripti bez znanja korisnika predstavlja opasnost od moguce zloupotrebe. Dodatni problem je sto antivirusi najverovatnije ne bi ni upozorili korisnika na potencijalno opasan PDF dokument.

Na srecu, postoji kratka Python skripta koja moze da se iskoristi za analizu PDF dokumenata. Skripta je pdfid.py. Posto je rec o Python skripti, moracete da instalirate Python, ako ga vec nemate instaliranog.

Skriptu mozete preuzeti sa sledece adrese:
http://blog.didierstevens.com/programs/pdf-tools/

Kada preuzmete zipovani fajl, raspakujte ga. Pdfid.py radi u komandnom promptu, odnosno terminalu. Najbolje je da pdfid.py i PDF dokument koji testirate budu u istom folderu. Napomena, za korisnike Linuxa, pre nego sto budete mogli da koristite skriptu, morate da joj dozvolite da se izvrsava kao program, zato ukucajte komandu:
chmod +x pdfid.py
Kada ste to uradili, mozete da testirate Vase PDF-ove na sledeci nacin:
./pdfid.py neki_fajl.pdf

Windows korisnici kucaju komandu:
pdfid.py neki_fajl.pdf

Kada skripta zavrsi analizu PDF-a, prikazace statistiku pojavljivanja izvesnih kljucnih reci u PDF-u i koliko se puta pojavljuju.
Ako PDF sadrzi kljucne reci /JS i /JavaScript, to znaci da ima neki Java skript u sebi.
Kljucne reci /AA i /OpenAction znace da se prilikom pregleda PDF-a izvrsavaju neke automatske akcije.

Ako PDF sadrzi Java skript i kljucne reci /AA i /OpenAction to znaci da je dokument sumnjiv i da poseduje Java skript koji moze da se automatski izvrsi.

Naravno, ne mora da znaci da svaki PDF dokument koji automatski izvrsava Java skript ujedno i potencijalno opasan dokument, ali u tom slucaju treba biti oprezan. Ako ste PDF preuzeli iz izvora koji nisu pouzdani ili ste ga dobili preko emaila, najbolje je da ga ne otvarate. Ili da ga otvorite u virtuelnom okruzenju, na primer Virtual Boxu.

Samo da dodam, da pdfid moze i da onesposobi automatsko pokretanje Java skripti.
./pdfid.py -d neki_fajl.pdf

Za detaljan spisak komandi kucajte:
./pdfid.py -h

Ako zelite da dalje analizirate PDF dokumente, mozete koristiti Python skriptu koja se zove: pdf-parser.py
Tu skriptu takodje mozete preuzeti sa adrese:
http://blog.didierstevens.com/programs/pdf-tools/

Takodje, na adresi http://blog.didierstevens.com/programs/pdf-tools/ mozete pronaci vise detalja o tome kako se koriste skripte.

Jos jedna zanimljiva adresa je:
https://brundlelab.wordpress.com/2010/11/23/malware-pdf-analysis-of-a-very-simple-sample/
Na gore pomenutoj adresi je primer analize jednog malicioznog PDF-a gde se koriste alati pdfid.py i pdf-parser.py.

About darthewok

Kompjuterski entuzijasta sa preko 30 godina iskustva.

Posted on 2013/08/06, in Razno and tagged . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: