ESET Latinoamérica – Laboratorio
« Lo que dejó Virus Bulletin 2010
Papers de ESET en Virus Bulletin 2010 »

PDF: ¿Muerte a un formato o caza de brujas? [Virus Bulletin 2010]

octubre 5, 2010 10:38 am

Durante la última semana se ha hablado mucho del formato PDF y se ha estado aclamando su desaparición por distintos lugares de Internet. De hecho se menciona un supuesto sondeo realizado a profesionales de la seguridad informática. Pero ¿de dónde surge este macarthismo tecnológico? He aquí la respuesta…

Para ponernos en contexto, recordemos que durante los días 29 y 30 de septiembre y 1 de octubre se realizó el congreso mas destacado para la industria antivirus: Virus Bulletin Conference 2010. Este año celebró su vigésimo aniversario, con un evento que reunió a muchos de los mas importantes especialistas de anti-malware del mundo. Como ya hemos contado ESET estuvo presente en el evento, con mas de 20 profesionales de los cuales tres representaron específicamente a Latinoamérica.

Pero ¿qué tiene que ver esto con el formato PDF? Pues bien, en una de las charlas cuyo tema era el análisis heurístico aplicado a archivos PDF, el presentador luego de asegurarse de que no había nadie de la empresa Adobe en la sala, preguntó a la audiencia quiénes creían que el PDF debía ser reemplazado en favor de un formato mas seguro. Curiosamente la gran mayoría de los participantes levantaron la mano, aunque vale destacar que el mismo fue un comentario que rozó la broma, y que de hecho no está incluido en el paper original presentado para dar la charla. Ahora bien ¿es esto suficiente para afirmar una tendencia sobre el ocaso de un formato tan popular, como hicieron muchos medios de comunicación (incluso algunos de ellos afirmando un porcentaje claramente calculado a ojo en unos pocos segundos)? Claramente no. Si bien los especialistas en seguridad suelen desear mejoras en prácticamente todo, la ecuación sigue siendo contundente: seguridad y funcionalidad son y serán siempre inversamente proporcionales. Esto implica que a mayor funcionalidad (y comodidad) la seguridad tenderá a decrecer, y viceversa.

En lo que al formato PDF se refiere, este estándar abierto descrito en ISO 32000-1 fue madurando desde un simple formato derivado de Postscript en 1993, hasta sus versiones mas modernas (la última es de 2008) con capacidades de uso de multimedia y scripting embebido. Aquí yace su principal problema, ya que la complejidad suele ser enemiga de la seguridad. Esto no hace al formato en inseguro en si mismo, pero complica las cosas para garantizar seguridad.

Técnicamente la mayor complejidad del formato hace que sea más difícil de manipular para los desarrolladores de aplicaciones relacionadas, y más fácil de aprovechar para los usuarios maliciosos. El problema pareciera no tener solución trivial, ya que la tecnología demanda funcionalidades en tanto que la industria de la seguridad exige protección.

Lo más curioso de este escenario es que los archivos PDF están siendo objetivo de los atacantes desde hace unos pocos años, primero comenzando por explotar bugs en el software utilizado para leerlos, y luego abusando directamente de las características propias del formato. Es decir, un archivo PDF especialmente diseñado podría explotar una vulnerabilidad en el motor de interpretación (parser) de un programa para tomar control total del sistema, pero por otro lado, también podría utilizarse alguna característica permitida en el formato para embeber un código malicioso, como ser un JavaScript dañino, que tome alguna acción subrepticia desconocida por el usuario. En este blog ya hemos reportado numerosos casos de combinación entre malware y archivos PDF.

¿Ideas constructivas? En su charla, Paul Baccas propone algunas. En cuanto a su creador (Adobe) incorporar características de seguridad, como permitir solo el uso de scripts y archivos embebidos si están firmados, deshabilitar por defecto el scripting en el software de lectura, deshabilitar el JavaScript en los plug-ins de los navegadores, y por supuesto, implementar un modo más estricto de interpretación para el formato.

En resumen, no es necesario preocuparse demasiado por la continuidad del PDF, ya que aún se le augura una larga vida. Tal vez con el tiempo pueda ofrecer una mayor tranquilidad a los usuarios, a los desarrolladores, y a sus creadores, pero por el momento es recomendable comenzar a tomar conciencia de los riesgos de su uso, sin caer en la paranoia, y comprendiendo realmente el alcance de los peligros.

Federico Pacheco
Education & Research Manager

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4.22
Compartir en |


Categorias: Malware
6 Comentarios »

6 Comentarios en “PDF: ¿Muerte a un formato o caza de brujas? [Virus Bulletin 2010]”

  1. ESET Latinoamérica – Laboratorio » Blog Archive » Resumen de amenazas de octubre dijo:
    2-11-2010 a las 5:24 pm

    [...] Durante este mes se llevo a cabo el cierre de la conferencia Virus Bulletin 2010, donde los expertos de la industria de antivirus y antispam exponen las problemáticas del año dejando mucho material interesante. En esta oportunidad se destaca  nuevamente a Stuxnet como el código malicioso más importante del año, también las redes sociales ocuparon su lugar en las problemáticas, ya que se habló de las amenazas que afectan a las mismas, siendo uno de los principales medios  para los atacantes, los archivos PDF tuvieron su cuota en la conferencia ya que una de las charlas se planteó un interesante debate sobre este estándar abierto. [...]

  2. ESET Latinoamérica – Laboratorio » Blog Archive » Java es más explotado que Adobe dijo:
    26-10-2010 a las 10:40 am

    [...] de ataques hacia Java, superando así notablemente a Adobe, que en estos últimos tiempo ha sido blanco habitual de ataques [...]

  3. Federico Pacheco dijo:
    8-10-2010 a las 3:53 pm

    Hola Mikel, es interesante tu planteo, ya que el estándar PDF pertenece a una familia de estandáres licenciados bajo términos denominados RAND (Reasonable and Non Discriminatory, o “razonables y no discriminatorios”) que establecen una base para el tratamiento e interacción con el formato, aunque no es completamente abierto en el sentido de una licencia GPL por ejemplo. En ese estricto sentido es probable que como siempre ocurre con los estándares, sea solo cuestión de tiempo llegar a una solución completamente abierta. Saludos!

  4. Mikel Iridoi dijo:
    8-10-2010 a las 4:18 am

    Lo primero, gracias por el artículo Federico ;)
    Sobre las propuestas “Ideas constructivas”…, desde luego si se aplican todas esas medidas, ¿para qué nos serviría entonces el PDF?, yo creo que lo que adolece este formato es más bien su falta de transparencia hacia los desarroladores, como se comenta en el post el formato PDF sigue unos estándades, pero tanto su diseño como su impelemtación no son conocidos (no han sido participativos). Como desarrollador desde hace 20 años, en mi opinión la única manera de combatir esta dolencia, es abriendo el código a los desarrolladores, de esta manera los desarrolladores pueden aportar en su diseño, su implementación y su seguridad (como ocurre en los sistemas abiertos Linux, en donde no existen virus). Salu2!

  5. PDF: ¿Muerte a un formato o caza de brujas? dijo:
    6-10-2010 a las 12:39 pm

    [...] PDF: ¿Muerte a un formato o caza de brujas? blogs.eset-la.com/laboratorio/2010/10/05/pdf-%C2%BFmuerte…  por camachosoft hace 10 segundos [...]

  6. Tweets that mention ESET Latinoamérica – Laboratorio » Blog Archive » PDF: ¿Muerte a un formato o caza de brujas? [Virus Bulletin 2010] -- Topsy.com dijo:
    5-10-2010 a las 4:39 pm

    [...] This post was mentioned on Twitter by Alejandro Eguía, Mariano del Río. Mariano del Río said: RT @spamloco: PDF: ¿Muerte a un formato o caza de brujas? [Virus Bulletin 2010] http://bit.ly/bbXZFT [...]

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2013 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.