De Belgische beveiligingsonderzoeker Didier Stevens loopt al een tijdje mee, toch haalde hij onlangs de wereldpers met de ontdekking dat uitvoerbare programma's in PDF-bestanden zijn in te bedden. Een tactiek die aanvallers inmiddels actief misbruiken voor het infecteren van gebruikers. Stevens wordt inmiddels als een autoriteit op het gebied van PDF te zien, waarvan hij zegt dat het voor Penetration Document Format staat. Hoogste tijd voor Security.nl om hem over dit verraderlijke bestandsformaat aan de tand te voelen.
Je bent inmiddels een internationaal erkende PDF-expert, vanwaar jou fascinatie met PDF?
Stevens: Ongeveer twee jaar geleden zag ik de presentatie van Eric Filiol op Black Hat Amsterdam. Dit heeft mij aangezet tot het lezen van de PDF Reference documentatie, wat mij allerlei ideeën gaf.
Adobe heeft deze week de nieuwe update-tool gelanceerd, toch zal die niet standaard updates installeren en moeten gebruikers hier eerst toestemming voor geven. Hadden ze het niet beter zoals Google kunnen doen? Gewoon "stiekem" patchen?
Stevens: Ja, voor thuisgebruikers hadden ze dit beter kunnen doen. Maar het probleem zit hem bij zakelijke gebruikers en kleine bedrijven. Zij gebruiken software die soms Adobe Reader integreert en stiekem patchen kan dan deze software breken.
Hoe vind je de houding van Adobe ten opzichte van beveiliging. Als je ze met Microsoft vergelijkt, waar bevinden ze zich dan?
Stevens: Ik denk dat ze zich ongeveer op dezelfde positie bevinden als Microsoft, toen Bill Gates zijn Trustworthy Computing nota uitstuurde (2002). Ze hebben security teams, er zijn communicatie kanalen met onderzoekers en ze hebben nu ook een patchcyclus. Die is echter nog te lang. Maar ik kan wel begrijpen dat hun testproces zeer lang is. Ter illustratie: onlangs kocht ik een e-book reader die Linux draait en Adobe software gebruikt om PDF's en andere e-book file formaten te renderen. Als Adobe patches maakt, moeten ze die (in principe) ook op al die toestellen gaan uittesten.
In hoeverre ligt de problematiek bij Adobe en niet in de PDF-specificatie zelf. F-Secure verwees naar de mogelijkheden van wat er met PDF allemaal mogelijk is. Het lijkt er niet op dat de specificatie met security in het achterhoofd is ontworpen?
Stevens: Bij een deel van de PDF specificatie is er wel heel goed nagedacht over security. De JavaScript interpreter is heel goed gesandboxed. Je kan met
JavaScript niet buiten die sandbox. Lezen en schrijven van willekeurige bestanden is bijvoorbeeld onmogelijk. Het gevaar van JavaScript komt echter van al de bugs die erin zitten, waarvan vele misbruikt kunnen worden om shellcode uit te voeren.
Dat doet meteen de volgende vraag stellen: komt het nog wel goed met PDF, of blijft het net als .exe, .pif, etc. een gevaarlijk bestandsformaat?
Stevens: Ja, want er bestaan varianten van de PDF taal, zoals PDF/A, die alle gevaarlijke features van PDF niet ondersteunen. Een reader die alleen PDF/A ondersteunt, zal geen JavaScript of andere actieve content ondersteunen.
Je laatste Proof-of-Concept (PoC) toonde aan dat ook Foxit Reader de nodige problemen heeft. Is Foxit ook al te 'bloated' (het ondersteunt JavaScript) of zou je PoC ook op Sumatra werken?
Stevens: Foxit Software wil zoals elk ander bedrijf zijn marktaandeel vergroten. Het kan dit alleen door marktaandeel van Adobe Reader af te snoepen, en
hiervoor moet het steeds meer dezelfde features gaan aanbieden. Dat IT-security mensen hun zeggen dat ze dit beter niet moeten doen, bijvoorbeeld geen JavaScript ondersteunen, houdt ze niet tegen. Wij zijn niet talrijk genoeg in vergelijking met al hun andere klanten die hier wel om vragen. Kijk maar in het Foxit forum, je zal zien dat er veel vragen zijn over (in)compatibiliteit met Adobe.
Waarom ging je met ontdekking over inbedden van uitvoerbare programma's tot full-disclosure over, in plaats van eerst Foxit Software en Adobe te waarschuwen?
Stevens: Adobe heb ik drie dagen voor mijn post gewaarschuwd. De PoC heb ik niet gepubliceerd, dus het is geen full-disclosure. Maar omdat ik geen vulnerability misbruik, maar enkel creatief ben met features, verwacht ik niet dat Adobe deze features zal verwijderen. Foxit heeft dit trouwens niet gedaan met hun laatste versie. Ze hebben een waarschuwing toegevoegd, maar /Launch is nog steeds mogelijk. Voor Foxit wist ik dat er al een CVE in 2009 was voor het ontbreken van een waarschuwing, zij waren dus eigenlijk al sinds verleden jaar op de hoogte van het gevaar. Ik heb ze pas gecontacteerd toen ik er ook in slaagde om een PoC voor Foxit te maken.
Zelfs voor gebruikers die het gevaar van PDF kennen is het lastig om een fout PDF-bestand te herkennen. Je hebt een tool gemaakt die de inhoud kan identificeren, maar dit is voor de doorsnee gebruiker nog steeds lastig. Wat kunnen zij doen?
Stevens: Het belangrijkste is dat zij niet als local admin werken, en even nadenken voor ze een PDF openen. Als ze een PDF toegestuurd krijgen van een onbekende, doen ze er verstandig aan om deze niet te openen. Overstappen naar een alternatieve reader is tijdelijk een goede oplossing. Niet dat deze alternatieve readers minder bugs bevatten, maar ze worden gewoon veel minder aangevallen. Adobe is het voornaamste doelwit op het ogenblik, gevolgd door Foxit Reader.
Veel Nederlandse overheidssites en bedrijven gebruiken PDF en adviseren gebruikers en klanten om Adode Reader te installeren. Zouden ze niet naar een alternatief moeten wijzen en veroorzaakt deze massale aandacht voor Adobe Reader niet de problematiek waar we nu mee te maken hebben?
Stevens: Mijns inziens heeft F-Secure het beste advies gegeven: gebruik een alternatieve reader. Ze zeggen dus om andere software te gebruiken dan Adobe, maar geven zelf geen voorkeur. Hiermee wordt gehoopt dat er een diversificatie van het PDF reader landschap zal optreden, en dit maakt het voor de criminelen veel moeilijker om al deze readers aan te vallen.
Hoe zie jij de toekomst voor PDF en Adobe Reader?
Stevens: PDF en Adobe gaan verder op de ingeslagen weg om steeds meer features in te bouwen. Ik hoop alleen dat de security groep binnen Adobe genoeg zeggenschap heeft om dit zo veilig mogelijk te doen. Ik heb van een goede bron gehoord dat Adobe Reader 10 zijn eigen sandbox technologie zou hebben. Als deze ook werkt op Windows XP is dit een zeer goede zaak.
Welke PDF-lezer gebruik je zelf?
Stevens: Sumatra PDF, en als deze crasht (wat wel vaker gebeurt, dus zeker niet bug-vrij), Foxit Reader. Maar beide draaien in een sandbox, en ik ben
geen local admin.
Deze posting is gelocked. Reageren is niet meer mogelijk.