PDF 보안 - 동전의 뒷면
업데이트 날짜:2010년 2월 15일
PDF 보안은 다소 모호한 주제처럼 들립니다. 그리고 그렇습니다. 대다수의 컴퓨터 사용자에게 PDF 문서는 단순한 정보 매체일 뿐입니다. 불행하게도 그들은 그 이상이 되었습니다.
PDF 문서는 스크립트 등이 포함된 대화형 애플릿으로 발전하여 사용자 경험을 크게 향상시키지만 잘못 사용하면 잠재적인 문제가 발생할 수 있습니다. 자주 표적화되고 남용되는 인기 있는 PDF 소프트웨어와 결합하면 PDF 문서를 여는 것이 보안 문제가 될 수 있습니다.
이전 기사에서 PDF 취약점과 가능한 완화 방법에 대해 이야기했습니다. 솔직히 말하면, 미리 생각해 보면 문제를 아주 쉽게 피할 수 있습니다. 제한된 권한으로 운영 체제를 실행하고, 대체 프로그램을 사용하고, 평판이 좋은 정보 소스를 사용하면 괜찮을 것입니다. 정말 패닉이 없습니다. 사실, 지난 글 이후에 내가 왜 이 글을 쓰고 싶은지 묻고 싶을 수도 있습니다.
자, 오늘은 PDF 보안이라는 주제를 다른 각도에서 소개하고 싶습니다. 첫 번째 기사에서 언급한 모든 방법은 일반적이고 항상 잘 작동하는 기본 거부 기술이지만, 보유하고 있는 파일에 대해 아무 것도 알려주지 않습니다. 즉, 우리는 자신도 모르게 "잘못된" 파일로 작업하고 있을 수 있습니다. 시스템에 위험이 없을 수는 있지만 사회 공학이 제거되지는 않습니다. 게다가 제대로 구성된 시스템을 사용하고 있다면 어떤 파일을 사용하고 여는지 신경쓰지 않지만, 아무것도 모르는 동료에게 나쁜 내용을 전달한다면 어떻게 될까요? 예를 들면 다음과 같습니다. Linux 사용자; 시스템에서 어떤 파일을 열고 사용하는지 크게 신경 쓸 필요는 없지만 감염되었을 가능성이 있는 파일을 Windows 친구들에게 전달하면 당황스러운 순간이 생길 수 있습니다.
가장 좋은 해결책은 친구가 없는 것입니다. 이렇게 하면 누구에게도 나쁜 내용을 전달하지 않을 것입니다. 그러나 사람들은 친구가 있는 경향이 있으므로 PDF 소프트웨어에 대한 보다 분석적인 접근 방식에 대해 논의하겠습니다. 오늘 제시된 자료는 첫 번째 기사에서 배운 교훈을 대체하지 않습니다. 그것은 그것들을 보완합니다 – 글쎄요.
시작해보자.
건전한 사용 관행
내 기사 안전한 웹 관행에서는 일반 사용자가 방금 다운로드하여 실행하려는 파일의 품질 수준을 분석하기 위해 배포할 수 있는 몇 가지 방법을 설명했습니다. 그들은 온라인 다중 스캐너를 중심으로 포럼과 행복한 인터넷 검색에서 도움을 요청합니다. 이것은 결코 일을 처리하는 완벽한 방법은 아니지만 불행히도 때로는 유일한 방법입니다. 누군가 파일을 실행하고 싶을 때 파일을 실행할 것입니다. 당신이 할 수 있는 가장 좋은 방법은 파일을 실행하기 전에 몇 가지 형식적인 검사를 하도록 설득하는 것입니다.
모든 종류의 검사에서 가장 큰 문제는 파일을 불량으로 표시할 수 있다는 것입니다. 그러나 파일을 양호한 것으로 표시할 수는 없습니다. 많은 사람들이 이것을 이해하지 못합니다. 대신 그들은 안티 바이러스가 모든 것에 대한 가장 신성한 솔루션이라고 맹세합니다. 저는 이 점을 강조하고 싶습니다. 안티 바이러스가 파일을 불량으로 표시하면 그 파일은 모든 해악 중에서 덜 나쁜 것입니다. 의심이 있을 때는 의심의 여지가 없습니다. 하지만 이 소프트웨어가 파일을 깨끗한 것으로 표시하면 어떻게 될까요? 깨끗합니까? 아니요. 이는 단지 문제가 있는 것으로 표시되지 않았다는 의미일 뿐입니다. 그게 전부입니다.
이것이 바로 화이트리스트 또는 기본 거부 접근 방식이 모든 종류의 위협을 처리하는 가장 좋은 방법인 이유입니다. 소수의 선택된 친구를 제외하고는 모두가 적입니다. 당신은 모든 것을 나쁘고 천천히 다루며 신중하게 선택의 여지를 신뢰의 범위에 넣습니다.
내 PDF 취약점 기사는 모두 화이트리스트에 관한 것입니다. 화이트리스트의 문제는 존재하거나 존재하지 않을 수 있는 문제를 단순히 인식하지 못한다는 것입니다. 당신은 다른 사람을 괴롭힐 수 있는 어떤 불행도 모르고 행복하게 지나갑니다.
여기서 블랙리스트가 등장합니다. 기본 허용이라고도 알려진 블랙리스트는 나쁜 내용에 대한 긴 데이터베이스를 유지하고 주기적으로 목록을 업데이트하는 방법입니다. 그런 다음 바이러스 백신 스캐너와 같은 도구는 이러한 데이터베이스를 사용하여 악성 코드를 식별하려고 시도합니다. 실행 가능한 코드에 대해 서명 탐지 패턴을 실행하고 사용자에게 다시 보고합니다. 그 방법은 오히려 돈키호틱하지만 그것은 표준이 되었고 사람들은 그것이 표준인 한 그들이 시키는 것은 무엇이든 할 것입니다.
블랙리스트는 법 집행 기관과 같습니다. 대부분의 사람들은 유죄가 입증될 때까지 무죄로 간주됩니다. 화이트리스트 작성은 1984년과 비슷합니다. 관심이 있다면 이 주제에 대한 다소 철학적인 기사를 읽을 수 있습니다.
소프트웨어 세계에서는 화이트리스트가 승리하며, 사회에서도 그렇게 나쁘지는 않습니다. 블랙리스트는 오히려 비효율적입니다. 그러나 이 두 가지를 결합하면 꽤 흥미로운 결과를 얻을 수 있습니다. 블랙리스트 체리를 화이트리스트에 추가하면 매우 유용한 공식을 얻을 수 있습니다.
화이트리스트를 사용하면 행복해집니다. 블랙리스트는 친구들을 행복하게 만듭니다. 컴퓨터를 양호한 상태로 유지하고 다른 사람에게 정크 메일을 보내는 것을 방지하여 스팸 및 맬웨어의 주기를 단축합니다. 그것은 슈퍼맨이 되어 다른 사람들을 위해 돼지독감 백신을 테스트하는 것과 같습니다.
PDF 취약점
우리는 이전에 이것에 대해 길게 이야기했습니다. 가장 일반적인 공격 벡터와 이를 완화하는 매우 간단한 방법, 무엇보다도 주의와 인내심을 발휘하여 이 주제에 대한 내 기사를 꼭 살펴보시기 바랍니다.
이제 기술을 활용하고 블랙리스트를 사용하려는 경우 도움이 될 도구 세트가 여기에 있습니다.
PDF 스캐너, 그게 뭐죠?
실제로. 대부분의 사람들은 PDF 파일을 특별히 처리하는 도구에 대해 들어본 적이 없습니다. 기존의 안티 X 스캐너가 그 신성한 기능을 여기저기서 광고하면 운이 좋을 수도 있지만 PDF를 처리하는 전용 도구는 거의 없습니다.
최근까지 PDF 파일은 흥미로운 것으로 간주되지 않았습니다. 그러나 강력한 스크립팅과 Flash를 PDF와 결합하면 꽤 잘 악용될 수 있는 보안 침해가 발생했습니다. 더 나쁜 것은 가장 인기 있는 PDF 및 Flash 소프트웨어가 동일한 공급업체인 Adobe에서 제공된다는 것입니다. 따라서 하나에 문제가 있으면 다른 하나에도 문제가 있을 가능성이 높습니다.
PDF 위협을 완화하면 많은 편집증적인 Windows 사용자에게 당황스럽고 해결책이 거의 없습니다. 제한된 계정을 운영하고 대체 소프트웨어를 사용하면 문제가 해결되지만 이렇게 놀라울 정도로 간단한 개념을 시도하려는 사람은 거의 없습니다.
최근에는 Windows 사용자에게 잘못된 파일을 식별할 수 있는 방법을 제공하는 다양한 PDF 보안 도구가 등장했습니다. 다시 한번 말씀드리지만, 화이트리스트 작성이 선호되는 작업 방식입니다. 이제 다음 도구를 살펴보겠습니다.
웨파웻
홈페이지
Wepawet은 웹 기반 악성코드를 분석하는 서비스입니다. Flash, Javascript 및 PDF 파일을 처리합니다. 파일을 업로드하거나 URL을 지정하여 서비스를 이용할 수 있습니다. 매우 간단합니다.
샘플 보고서는 다음과 같습니다.
이것은 결코 완벽하지는 않지만 이것이 무엇인지에 대한 힌트를 줄 수 있습니다. 의심이 들 때는 의심의 여지가 없다는 것을 기억하십시오.
PDFiD
홈페이지(기사)
이 도구는 PDF 파일 내에서 Javascript를 비활성화합니다. 그것이 하는 일은 소문자를 대문자로 또는 그 반대로 변경하는 함수의 이름을 다시 쓰는 것입니다. PDF 언어는 대소문자를 구분하므로 스크립트가 의미가 없고 사용할 수 없게 되지만 판독기 소프트웨어가 내용을 올바르게 표시하는 것을 방해하지는 않습니다. 그들은 나쁜 지시를 무시하고 넘어갈 것입니다.
그러나 PDFiD는 명령줄 Python 스크립트이므로 Python을 설치하고 명령줄에서 도구를 호출해야 합니다. 멋진 GUI가 없습니다. Wepawet과 마찬가지로 이 도구는 젊고 친환경적이며 결함이 있을 수 있지만 작업을 완료합니다.
명령은 다음과 같습니다:
PDFiD -d <파일 이름>.pdf
이렇게 하면 PDF 파일이 "해제"되어 Javascript가 제거되고
제가 아는 한, 제가 착각할 수 있는 한, PDFiD는 VirusTotal 스캐너 목록에 포함되어 있으므로 의심스러운 파일에 대해 온라인 검사를 수행하는 경우 PDFiD를 포함하여 업로드된 콘텐츠의 무결성을 확인하는 20개 이상의 도구를 갖게 됩니다.
추가
일반적으로 오늘은 이것이 전부입니다. 슈퍼 괴짜들을 위한 추가 자료는 다음과 같습니다.
이 PDF는 악성인가요?
결론
이 기사는 당신을 PDF 특수부대원이나 그와 유사한 것으로 만들지 않을 것입니다. 그러나 원하지 않는 파일을 식별하기 위한 기본 도구를 제공합니다. 이 도구는 완벽하지도 않고 대량 사용을 목적으로 만들어진 것도 아니지만, 이 기사를 읽고 계신다면 아마도 일반 컴퓨터 사용자가 아닐 것입니다.
백만 번째로, 파일이 마음에 들지 않으면 실행하지 마세요. 무엇보다도 가려운 손가락으로 인한 자해 실수를 방지하려면 대체 응용 프로그램을 사용하고 최소 권한 개념을 고수하십시오. 이렇게 하면 잘못된 파일을 실행하더라도 손상 범위가 훨씬 줄어듭니다.
컴퓨터 사용 습관이 좋지 않아 지식이 부족한 친구에게 파일을 보낼 때 Wepawet 및 PDFiD를 사용하는 것이 좋습니다. 장기적으로 보면 그다지 큰 변화를 가져오지는 못하더라도 최소한 최선을 다했을 것입니다.
전송 중인 의심스러운 파일을 처리할 때는 화이트리스트를 고수하고 블랙리스트를 사용하세요. 이 기사가 마음에 들었기를 바랍니다. 현명한 내용이 있으면 추가하세요. 부끄러워하지 말고 이메일을 보내세요. 나중에 봐요.
건배.