Attenti, è un PDF !
13/May/10 13:47 Filed in: Web e Sicurezza
Brutte sorprese per tutti i fedelissimi utenti del formato PDF.
Una delle semplici regole per distribuire documenti elettronici è quella di non usare documenti di Office; infatti i formati proprietari di Office (doc, xls e ppt, per citare quelli di Word, Excel e PowerPoint), contengono informazioni personali e sono potenziale veicolo di infezioni.
Una delle semplici regole per distribuire documenti elettronici è quella di non usare documenti di Office; infatti i formati proprietari di Office (doc, xls e ppt, per citare quelli di Word, Excel e PowerPoint), contengono informazioni personali e sono potenziale veicolo di infezioni.
Come nel mondo reale, i virus informatici hanno bisogno di un veicolo di infezione e, trattandosi di righe di codice, vanno di preferenza dove trovano altro software: ecco perché i file eseguibili, le pagine web e le mail che contengono script (semplici programmi) sono particolarmente vulnerabili.
Word e Excel, ad esempio, eseguivano automaticamente il codice contenuto nei documenti e per questo motivo i files di Office sono stati particolarmente sensibili alle infezioni. Sfruttando questa caratteristica, in passato si era diffusa una classe di software malevolo denominato “macro virus”, proprio per la sua predilezione ad utilizzare documenti di questo tipo come vettori di trasferimento.
La scelta dei formati per la trasmissione era, quindi, obbligatoriamente caduta su file in formato txt (quelli che si possono scrivere con il blocco note, per capirci), dove non c'è posto per nulla che non siano i caratteri che compongono il testo, oppure in formato html (quello delle pagine web), a patto di non contenere script di nessun tipo.
Nel caso, poi, si fosse dovuta salvaguardare la formattazione, si poteva ricorrere al PostScript, linguaggio di descrizione di pagina che rende possibile il trasferimento di informazioni da un computer a un altro senza perdita di qualità. In pratica non invio il documento, ma le istruzioni che mi servono a riprodurlo.
Il formato PDF, in qualche modo derivato dal PostScript e anch'esso sviluppato da Adobe, fornisce documenti perfettamente identici all'originale, stampabili su carta o visualizzati a schermo, in modo assolutamente indipendente dalla piattaforma hardware utilizzata e dal software di lettura impiegato.
Ebbene, il formato PDF non è, in realtà, così sicuro come si è sempre pensato.
L'evoluzione delle specifiche PDF ha snaturato il formato che, nato per consentire la visualizzazione universale di documenti, ora consente di eseguire codice.
Di solito, quando si parla delle insicurezze del software, si pensa a una vulnerabilità, a un difetto di programmazione che, quindi, può essere corretto con il rilascio di un apposito aggiornamento, come avviene con i rilasci per Windows o Firefox o altri software di uso più o meno comune.
Qui il problema, però, è di natura completamente differente: non si tratta di una falla ma di uno dei capisaldi del formato che, definito da uno standard ISO, non può essere modificato così facilmente.
L'esecuzione di applicazioni, di codice script e l'invio di dati a un indirizzo web fanno, infatti, parte delle specifiche del PDF per cui un utente malintenzionato può inserire all'interno di un documento PDF codice potenzialmente malevolo e diffonderlo, aggiungendo la possibilità di aggredire e infettare tutti i file dello stesso tipo presenti sulla macchina attaccata e sulla rete locale (per esempio quella aziendale).
Non c'è che dire: una brutta sorpresa per tutti quei fedelissimi utenti del formato PDF che, adesso, dovranno prestare molta attenzione nell'aprire i file di questo tipo.
Soluzioni possibili sono quella di non leggerli sul proprio computer ma di usare un servizio di cloud computing (cioè sul Web) come Google Docs, oppure installare un apposito plug-in per il proprio browser, oppure utilizzare un programma di lettura minimalista che non supporti le funzioni avanzate delle specifiche PDF.
In ogni caso la prudenza non è mai troppa: tenete aggiornati i programmi e non aprite mai un allegato che non stavate aspettando, anche se arriva dal vostro più caro amico: potrebbe non essere lui!
gang
Word e Excel, ad esempio, eseguivano automaticamente il codice contenuto nei documenti e per questo motivo i files di Office sono stati particolarmente sensibili alle infezioni. Sfruttando questa caratteristica, in passato si era diffusa una classe di software malevolo denominato “macro virus”, proprio per la sua predilezione ad utilizzare documenti di questo tipo come vettori di trasferimento.
La scelta dei formati per la trasmissione era, quindi, obbligatoriamente caduta su file in formato txt (quelli che si possono scrivere con il blocco note, per capirci), dove non c'è posto per nulla che non siano i caratteri che compongono il testo, oppure in formato html (quello delle pagine web), a patto di non contenere script di nessun tipo.
Nel caso, poi, si fosse dovuta salvaguardare la formattazione, si poteva ricorrere al PostScript, linguaggio di descrizione di pagina che rende possibile il trasferimento di informazioni da un computer a un altro senza perdita di qualità. In pratica non invio il documento, ma le istruzioni che mi servono a riprodurlo.
Il formato PDF, in qualche modo derivato dal PostScript e anch'esso sviluppato da Adobe, fornisce documenti perfettamente identici all'originale, stampabili su carta o visualizzati a schermo, in modo assolutamente indipendente dalla piattaforma hardware utilizzata e dal software di lettura impiegato.
Ebbene, il formato PDF non è, in realtà, così sicuro come si è sempre pensato.
L'evoluzione delle specifiche PDF ha snaturato il formato che, nato per consentire la visualizzazione universale di documenti, ora consente di eseguire codice.
Di solito, quando si parla delle insicurezze del software, si pensa a una vulnerabilità, a un difetto di programmazione che, quindi, può essere corretto con il rilascio di un apposito aggiornamento, come avviene con i rilasci per Windows o Firefox o altri software di uso più o meno comune.
Qui il problema, però, è di natura completamente differente: non si tratta di una falla ma di uno dei capisaldi del formato che, definito da uno standard ISO, non può essere modificato così facilmente.
L'esecuzione di applicazioni, di codice script e l'invio di dati a un indirizzo web fanno, infatti, parte delle specifiche del PDF per cui un utente malintenzionato può inserire all'interno di un documento PDF codice potenzialmente malevolo e diffonderlo, aggiungendo la possibilità di aggredire e infettare tutti i file dello stesso tipo presenti sulla macchina attaccata e sulla rete locale (per esempio quella aziendale).
Non c'è che dire: una brutta sorpresa per tutti quei fedelissimi utenti del formato PDF che, adesso, dovranno prestare molta attenzione nell'aprire i file di questo tipo.
Soluzioni possibili sono quella di non leggerli sul proprio computer ma di usare un servizio di cloud computing (cioè sul Web) come Google Docs, oppure installare un apposito plug-in per il proprio browser, oppure utilizzare un programma di lettura minimalista che non supporti le funzioni avanzate delle specifiche PDF.
In ogni caso la prudenza non è mai troppa: tenete aggiornati i programmi e non aprite mai un allegato che non stavate aspettando, anche se arriva dal vostro più caro amico: potrebbe non essere lui!
gang