Algunas falacias recientes en torno a la seguridad del formato PDF

 

 

Por Fernando Acero

El otro día navegando por la Red, me topé con esta noticia: Cientos de expertos en seguridad proponen acabar con el formato PDF, y he de decir que me dejó perplejo que "expertos" en seguridad propusieran acabar con un formato abierto, en lugar de mejorar las aplicaciones que lo usan.

El formato PDF es un estándar abierto definido mediante la ISO 32000-1 y es simplemente eso, un formato estándar y libre para contener unos datos que han de interpretar, o renderizar, otras aplicaciones. Sí, es cierto que las últimas definiciones del mismo permiten cosas relativamente "peligrosas", como la multimedia o la capacidad de ejecución de scripts (algo que muchos se habrían ahorrado, yo incluido), pero el problema principal no está en la definición del ISO 32000-1, es decir, en el formato, la inseguridad está en las aplicaciones que manejan ese formato, que hacen cosas que no deben en determinadas condiciones, y entre ellas, cuando se abusa de determinadas características del formato, algo sobre lo que Adobe debería tener muchas cosas que decir y hacer...

Señores, eso, nos guste o no, incluso cuando se abusa de las características multimedia o de script que permite el estándar, es un problema de las aplicaciones que deberían estar preparadas para esas circunstancias, no de del formato en sí mismo. De hecho, no todas las aplicaciones tienen el mismo comportamiento cuando tienen que procesar un PDF “malévolo” y no todas las aplicaciones que manejan los PDF, “hacen el mismo caso” del contenido multimedia o los scripts que pudiera haber en los archivos.

El caso es que llevo algunos días pensado en este artículo y mucho me temo que, además de partir de una premisa errónea cuando nos dicen que “el problema está en el formato pdf y no en las aplicaciones que lo manejan”, o dicho de otro modo, cuando le echan la culpa de los problemas del continente al contenido, creo hay grandes y claros intereses creados en la elaboración del artículo y la pista creo que está en esta afirmación que aparece en el mismo:

"Al igual que Flash, PDF se ha convertido en un estándar tan grande que ha atraído la atención de los 'hackers'. Unido a los progresos que ha realizado Microsoft para proteger sus códigos, lo han dejado en una posición muy vulnerable a pesar de los esfuerzos de Adobe."

Veamos; ya hemos dicho que el problema es de las aplicaciones que manejan el formato, no del formato en sí mismo, pero recomiendo este sencillo ejercicio de reducción al absurdo; cambiemos PDF por Windows, Microsoft por la Comunidad de Software Libre y Adobe por Microsoft en la frase y veremos lo poco que se sostiene la afirmación anterior:

Al igual que Flash, Windows se ha convertido en un estándar tan grande que ha atraído la atención de los 'hackers'. Unido a los progresos que ha realizado la Comunidad de Software Libre para proteger sus códigos, lo han dejado en una posición muy vulnerable a pesar de los esfuerzos de Microsoft”.

¿Cuántos de los presentes consideran que se debería retirar Windows del mercado por ser objetivo prioritario de los "hackers y ser un "estándar" tan grande, que lo usan el 98% de los usuarios?

Creo que soluciones para el problema hay muchas, y un buen experto en seguridad, en lugar de pedir “la abolición” del formato, se dedicaría a recomendar cosas para mejorar los programas que tratan con este popular formato, como no permitir la ejecución de scripts que no estén firmados, que los scripts no puedan realizar determinadas cosas sin el consentimiento del usuario, mejorar las características de seguridad de las aplicaciones y de filtrado del formato, etc, etc, etc...

"Copyleft 2010 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved"

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
eb4bgr's picture

¿Posible nuevo estándar en el formato PDF?


También puede ser que intenten sacar otro estándar para el formato PDF y quieran deshacerse del viejo formato, bien distribuído ya por las aplicaciones y drivers gratuítos (¿conocéis Fox-It PDF Reader?), como también pasó hace tiempo con el estándar de documentos de MS Office. En pocas ocasiones uso Windows, pero no uso el software de Adobe; es muy lento. La noticia la leí hace varios meses.

Un saludo. ;)

Johns's picture

El problema es el scripting


Desde que leí que la versión 8 de Acrobat permitía scripting (con la considerable y esperada aparición de exploits en cuestión de días) que desistí de usar Adobe.

Personalmente considero que el pdf es un buen formato (mucho mejor que los malditos ODT... solo les falta la j para el chascarrillo ) y lo utilizo casi siempre para guardar documentación extensa.

Eso sí, y perdón por el spam, FoxIT para leerlo y PrimoPDF para crearlos... de Adobe nada :P

P.D. Esto huele a otra intentona para cambiar los estandares que la gente ya utiliza.

Andy's picture

Sandbox


Todas las aplicaciones que ejecuten código no instalado por la aplicación desde su CD de instalación (léase: scripts en ficheros de "datos") deberían ejecutar ese código en un sandbox. Tanto PDF, como Flash, como Java, etc, etc, etc y más etc.
No es tan difícil de hacer. Ya lo hacía IBM a principios de los '70.

Dicho ésto, *NO* deberían haber agregado capacidades de scripting a un formato escencialemente read-only. Si esta capacidad hubiese estado allí desde el principio, vale. Pero cambiar las reglas del juego en medio del partido es exponerse a malentendidos, supuestos, etc.

Un saludo,
Andy

Fernando Acero's picture

Actualización 07oct10 / 07:37am


El amigo Elias ha escrito algo en su blog que considero muy interesante:

¿Muerte al formato PDF? No, puro sensacionalismo

Al parecer, además de una falacia argumental, la publicación de la noticia sobre una presunta votación de expertos en seguridad para abolir el PDF, también tiene una buena parte de sensacionalismo y posiblemente, de falsedad.

Elias, preocupado por lo que se estaba diciendo y la repercusión que estaba teniendo en muchos foros, ha tenido la buena idea de preguntar a uno de los participantes y al parecer, los hechos han sido muy distintos.

De todos modos, quiero señalar, que con independencia de lo anterior, los problemas del PDF, que los tiene, se centran en las aplicaciones que lo manejan, no en la definición del estándar.

Un saludo, Fernando Acero

"Copyleft 2011 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

jonsito's picture

Yo me conformaría....


.... Con que la gente tuviera actualizados los visores de PDF...

Gegen die Dummheit kämpfen selbst die Götter vergebens - Schiller

Sasha's picture

No hacía falta esa traducción


Sólamente lo que pone aquí ya es suficiente para comprender qué se pretende con este ataque:

"Al igual que Flash, PDF se ha convertido en un estándar tan grande que ha atraído la atención de los 'hackers'. Unido a los progresos que ha realizado Microsoft para proteger sus códigos, lo han dejado en una posición muy vulnerable a pesar de los esfuerzos de Adobe."

Los enteraos (llamados ahí 'entendidos') en seguridad dicen que por mucho que Microblando se esfuerza en proteger su código lo que llega en PDF les hace pupita; joer, entonces de los .doc no hablamos, ¿no? jajajajajajaaaaaa... Al parecer no han tenido en cuenta a esos seres humanos que leen PDFs con otros lectores en otros sistemas operativos. En mi caso, Sumatra sobre Mandriva. En otras palabras: mete VBScript (p. e.) en un PDF y a mí me dará la risa; eso sí, el PDF es vulnerable, powerssss... Los que usen MacOSX comenten su caso, por favor.

Leyendo entre líneas se ve: huele que apesta a intentos de corporaciones de acabar con lo libre. No vayamos más lejos. El usuario sabrá lo que hace: ya se ha dicho por activa y por pasiva, y desde hace mucho tiempo.

=========================================

Cuando un partido te pide que seas un patriota en vez de pedirte que seas un ciudadano, es mejor arrimar el culo a la pared.

JPatache, en el blog de escolar.net

infosniper's picture

La solución no es tan difícil en Windows


y de hecho ya se han apuntado un par de puntos que la componen.

En primer lugar hay que emplear un visor actualizado con las menos "funcionalidades" posibles o, si las tiene, por lo menos que permita su control. Últimamente no para de publicitarse el programa Foxit Reader, así que allá cada cual.

En segundo lugar hay que configurar ese programa de forma adecuada impidiendo la ejecución de JavaScript (y si contiene otro tipo de funcionalidades añadidas hay que hacer lo mismo).

En tercer lugar me pasaría por la carpeta del programa y miraría de renombrar aquellas librerías que me hagan sospechar (pueden estar en la carpeta "pluguins" o en otras) y comprobar que el programa se sigue ejecutando perfectamente.

Y por último, y más importante, ejecutarlo en una sandbox (en Windows se ha hecho muy famoso el programa Sandboxie).

Un último apunte. Por mucho que los "expertos mundiales" y las multinacionales quieran acabar con un formato, quien tendrá siempre la última palabra es el usuario.

infosniper
http://sites.google.com/site/infosniper/

Kenzumi's picture

Alternativas para Windows


Existen muchas alternativas a Acrobat Reader en Windows.

SumatraPDF es un buen ejemplo de este tipo de visores PDF que recomendaría. Minimalistas con casi ninguna función en especial y ligeros en tamaño y recursos.
Al final lo que realmente necesitas es leer el contenido de los PDF. Por lo menos para mí.

También incluiría a Evince.

Para colmo son software libre.

javier fuentes's picture

Anatomía del PDF


Un PDF que analiza la anatomía de los PDFs malosos. ¿Es esto autorrecursivo?

http://hakin9.org/system/articles/attachment1s/7862/original/pdf_article...

El visor de PDF más ligero que conozco (después de vi ;) para linux es epdfview. Con el look & feel GTK.

Sasha's picture

Más conspiranoia


¿Tendrá que ver el intento de denigración de PDF como una maniobra previa a determinado acercamiento, con el fin de abaratar el proceso?

Ya he visto esto en algunas ocasiones: tu enemigo te estorba un poco, así que cómpralo y denigra/paraliza lo que te da problemas. Desde los tiempos de Stacker lo llevo viendo.

No obstante, si eso ayuda a quitar Flash de en medio, no hay mal que por bien no venga (no sé si lo notan pero detesto Flash casi tanto como java). Lo malo es que sería sustituido por otro montón de m**rd* aún peor, y más grande.

=========================================

Cuando un partido te pide que seas un patriota en vez de pedirte que seas un ciudadano, es mejor arrimar el culo a la pared.

JPatache, en el blog de escolar.net