'Overheid moet Adobe alternatief adviseren'
De Belgische beveiligingsonderzoeker Didier Stevens loopt al een tijdje mee, toch haalde hij onlangs de wereldpers met de ontdekking dat uitvoerbare programma's in PDF-bestanden zijn in te bedden. Een tactiek die aanvallers inmiddels actief misbruiken voor het infecteren van gebruikers. Stevens wordt inmiddels als een autoriteit op het gebied van PDF te zien, waarvan hij zegt dat het voor Penetration Document Format staat. Hoogste tijd voor Security.nl om hem over dit verraderlijke bestandsformaat aan de tand te voelen.
Je bent inmiddels een internationaal erkende PDF-expert, vanwaar jou fascinatie met PDF?
Stevens: Ongeveer twee jaar geleden zag ik de presentatie van Eric Filiol op Black Hat Amsterdam. Dit heeft mij aangezet tot het lezen van de PDF Reference documentatie, wat mij allerlei ideeën gaf.
Adobe heeft deze week de nieuwe update-tool gelanceerd, toch zal die niet standaard updates installeren en moeten gebruikers hier eerst toestemming voor geven. Hadden ze het niet beter zoals Google kunnen doen? Gewoon "stiekem" patchen?
Stevens: Ja, voor thuisgebruikers hadden ze dit beter kunnen doen. Maar het probleem zit hem bij zakelijke gebruikers en kleine bedrijven. Zij gebruiken software die soms Adobe Reader integreert en stiekem patchen kan dan deze software breken.
Hoe vind je de houding van Adobe ten opzichte van beveiliging. Als je ze met Microsoft vergelijkt, waar bevinden ze zich dan?
Stevens: Ik denk dat ze zich ongeveer op dezelfde positie bevinden als Microsoft, toen Bill Gates zijn Trustworthy Computing nota uitstuurde (2002). Ze hebben security teams, er zijn communicatie kanalen met onderzoekers en ze hebben nu ook een patchcyclus. Die is echter nog te lang. Maar ik kan wel begrijpen dat hun testproces zeer lang is. Ter illustratie: onlangs kocht ik een e-book reader die Linux draait en Adobe software gebruikt om PDF's en andere e-book file formaten te renderen. Als Adobe patches maakt, moeten ze die (in principe) ook op al die toestellen gaan uittesten.
In hoeverre ligt de problematiek bij Adobe en niet in de PDF-specificatie zelf. F-Secure verwees naar de mogelijkheden van wat er met PDF allemaal mogelijk is. Het lijkt er niet op dat de specificatie met security in het achterhoofd is ontworpen?
Stevens: Bij een deel van de PDF specificatie is er wel heel goed nagedacht over security. De JavaScript interpreter is heel goed gesandboxed. Je kan met
JavaScript niet buiten die sandbox. Lezen en schrijven van willekeurige bestanden is bijvoorbeeld onmogelijk. Het gevaar van JavaScript komt echter van al de bugs die erin zitten, waarvan vele misbruikt kunnen worden om shellcode uit te voeren.
Dat doet meteen de volgende vraag stellen: komt het nog wel goed met PDF, of blijft het net als .exe, .pif, etc. een gevaarlijk bestandsformaat?
Stevens: Ja, want er bestaan varianten van de PDF taal, zoals PDF/A, die alle gevaarlijke features van PDF niet ondersteunen. Een reader die alleen PDF/A ondersteunt, zal geen JavaScript of andere actieve content ondersteunen.
Je laatste Proof-of-Concept (PoC) toonde aan dat ook Foxit Reader de nodige problemen heeft. Is Foxit ook al te 'bloated' (het ondersteunt JavaScript) of zou je PoC ook op Sumatra werken?
Stevens: Foxit Software wil zoals elk ander bedrijf zijn marktaandeel vergroten. Het kan dit alleen door marktaandeel van Adobe Reader af te snoepen, en
hiervoor moet het steeds meer dezelfde features gaan aanbieden. Dat IT-security mensen hun zeggen dat ze dit beter niet moeten doen, bijvoorbeeld geen JavaScript ondersteunen, houdt ze niet tegen. Wij zijn niet talrijk genoeg in vergelijking met al hun andere klanten die hier wel om vragen. Kijk maar in het Foxit forum, je zal zien dat er veel vragen zijn over (in)compatibiliteit met Adobe.
Waarom ging je met ontdekking over inbedden van uitvoerbare programma's tot full-disclosure over, in plaats van eerst Foxit Software en Adobe te waarschuwen?
Stevens: Adobe heb ik drie dagen voor mijn post gewaarschuwd. De PoC heb ik niet gepubliceerd, dus het is geen full-disclosure. Maar omdat ik geen vulnerability misbruik, maar enkel creatief ben met features, verwacht ik niet dat Adobe deze features zal verwijderen. Foxit heeft dit trouwens niet gedaan met hun laatste versie. Ze hebben een waarschuwing toegevoegd, maar /Launch is nog steeds mogelijk. Voor Foxit wist ik dat er al een CVE in 2009 was voor het ontbreken van een waarschuwing, zij waren dus eigenlijk al sinds verleden jaar op de hoogte van het gevaar. Ik heb ze pas gecontacteerd toen ik er ook in slaagde om een PoC voor Foxit te maken.
Zelfs voor gebruikers die het gevaar van PDF kennen is het lastig om een fout PDF-bestand te herkennen. Je hebt een tool gemaakt die de inhoud kan identificeren, maar dit is voor de doorsnee gebruiker nog steeds lastig. Wat kunnen zij doen?
Stevens: Het belangrijkste is dat zij niet als local admin werken, en even nadenken voor ze een PDF openen. Als ze een PDF toegestuurd krijgen van een onbekende, doen ze er verstandig aan om deze niet te openen. Overstappen naar een alternatieve reader is tijdelijk een goede oplossing. Niet dat deze alternatieve readers minder bugs bevatten, maar ze worden gewoon veel minder aangevallen. Adobe is het voornaamste doelwit op het ogenblik, gevolgd door Foxit Reader.
Veel Nederlandse overheidssites en bedrijven gebruiken PDF en adviseren gebruikers en klanten om Adode Reader te installeren. Zouden ze niet naar een alternatief moeten wijzen en veroorzaakt deze massale aandacht voor Adobe Reader niet de problematiek waar we nu mee te maken hebben?
Stevens: Mijns inziens heeft F-Secure het beste advies gegeven: gebruik een alternatieve reader. Ze zeggen dus om andere software te gebruiken dan Adobe, maar geven zelf geen voorkeur. Hiermee wordt gehoopt dat er een diversificatie van het PDF reader landschap zal optreden, en dit maakt het voor de criminelen veel moeilijker om al deze readers aan te vallen.
Hoe zie jij de toekomst voor PDF en Adobe Reader?
Stevens: PDF en Adobe gaan verder op de ingeslagen weg om steeds meer features in te bouwen. Ik hoop alleen dat de security groep binnen Adobe genoeg zeggenschap heeft om dit zo veilig mogelijk te doen. Ik heb van een goede bron gehoord dat Adobe Reader 10 zijn eigen sandbox technologie zou hebben. Als deze ook werkt op Windows XP is dit een zeer goede zaak.
Welke PDF-lezer gebruik je zelf?
Stevens: Sumatra PDF, en als deze crasht (wat wel vaker gebeurt, dus zeker niet bug-vrij), Foxit Reader. Maar beide draaien in een sandbox, en ik ben
geen local admin.
In foxit reader zitten mij nog teveel dingen die in de kinderschoenen staan.
Tevens is de nieuwste versie geloof ik nog niet eens in het Nederlands.
Bij foxit reader heb je twee versies een gratis en een pro versie,welke nog meer toeters en bellen heeft.
Volgens mij volstaan de meeste mensen als ze foxit reader willen gebruiken met de gratis versie.
Maar goed de consument moet zelf maar uitmaken welke pdf reader ze willen gebruiken.
persoonlijk find ik Adobe reader de fijnste.
Als je Ubuntu linux gebruikt hebben ze een eigen pdf raeder in het pakket zitten die je zelf kan installeren met het paketten beheer.
Deze is ook echt niet slecht en een prima alternatief als je op je pc of laptop geen windows gebruikt.
*Heeft een aversie tegen overheidsadviezen*
Dit is al jaren het grootste probleem en er is maar één platform waar dat admin gebruik door 90% van de mensen wordt gedaan!
Het is inderdaad belangrijk om alternatieve applicaties te hebben die dezelfde documenten kunnen lezen (en/of schrijven), maar dat geldt zeer zeker ook voor (MS)Office. Het zou toch niet uit mogen maken of ik Office-A, Office-B, Reader-R of Applicatie-D gebruik?
Diversiteit is belangrijk voor veiligheid.
maar ook alle andere sites die verwijzen naar Adobe Reader.
Altijd vind men links als Get Adobe Reader terug. Door het vermelden van alternatieve PDF readers zou de consument er attent op gemaakt worden dat er alternatieve readers bestaan daar PDF meestal automatisch geassocieerd word met Adobe Reader.
Is dat wat of heeft dat ook last van hetzelfde probleem?
Wat ik me vooral afvraag: wat is de toegevoegde waarde van al die extra dingen? In mijn beleving is pdf op de eerste plaats bedoeld om de layout op de manier te tonen zoals de maker/ontwerper heeft bedacht.
Met bedrijfsomgevingen heb ik geen ervaring, maar het lijkt me sterk dat die extra functies in een hele grote behoefte voorzien.
Waarna 99% van de gebruikers zal kiezen voor Adobe Acrobat Reader, omdat ze hiermee bekend zijn, en omdat ze niet weten waarom ze daar niet voor zouden moeten kiezen. Immers weet de gemiddelde gebruikers weinig over vulnerabilities, exploits en de daaraan verbonden gevaren.
Waarom is dit een overheidstaak ?
Is dat wat of heeft dat ook last van hetzelfde probleem?
Sorry, geen idee, zal ik eens moeten naar kijken, die gDoc.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
