Az Adobe Readerétől ments meg Uram minket!

2011. február 28. 16:30 - Csizmazia Darab István [Rambo]

Mikko Hyppönen is az RSA 2011 előadói között volt. A kártevők, kémprogramok kapcsán kiemelte, 2010-ben a veszélyes mellékletek közül leginkább a PDF dokumentumok okozták a legtöbb fertőzést.

A február közepén az USA-ban tartott konferencián az F-Secure antivírus-kutatási részlegének vezetője is előadást tartott, és arról beszélt, a mai korszak kártevőit szinte kizárólag kémkedésre készítik fel. A különféle trójai alkalmazások, célzott kémprogramok rengeteg egyedi, és változatlan formájában ritkán előforduló kódot jelentenek, amelyek időben történő felismerése, blokkolása elképesztően nehéz feladatot jelent a víruslaboratóriumok számára.

Jól megfigyelhető volt, hogy minden híres ember, különleges vagy váratlan esemény, katasztrófa, díjátadás, sportesemény, politikai zavargás remek alkalom a kártevőterjesztőknek, akik mérgezett keresőtalálataiba, kéretlen üzeneteibe fertőzött weboldalakra mutató linkeket helyeznek el, illetve sebezhetőségeket kihasználó fájlmellékleteket csatolnak a leveleikhez. A veszélyes dokumentum fájltípusok között az azt megelőző évhez hasonlóan 2010-ben is a PDF emelkedett ki leginkább, 61 százalékban tartalmazott valamilyen hibát kiaknázó exploitot. És csak ezt követi aztán a többi, maradékon osztozó Office fájltípus: Excel, Word, PowerPoint, futottak még. Elmondása szerint a létező legsilányabb szoftver az Adobe Reader, amit a szintén sűrűn támadott QuickTime követ a sorban.

Az ilyen incidensek után a támadók képesek hátsóajtót nyitni a sebezhető számítógépeken, és onnan adatokat tudnak ellopni, illetve a fertőzött gép távolról történő rejtett irányítása, valamint általában további támadásokban való felhasználása a jellemző. A blogon is beszámoltunk már a PDF támadások számának emelkedéséről, valamint bátorítottuk az olvasókat az alternatív PDF megjelenítők használatára. A PDF olvasó egyéb, megbízhatóbb és kevesebbet támadott thirdparty termékkel való kiváltása a vállalatok számára is hasznos megoldás lehetne, különösen a gyakran támadott, célkeresztben álló stratégiai munkahelyeknek lenne érdemes ezt meglépni.

Persze azt Hyppönen is kiemelte, hogy az alacsony észlelési küszöb miatt a felesleges, gyanús, kéretlen leveleket, levélmellékleteket legjobb azonnal olvasatlanul kitörölni, esetleg indokolt esetben magától a feladótól megerősítést kérni, valóban ő küldte-e azt - persze mindezt szigorúan még a megnyitás előtt. Emellett a felhasználók egyik lehetséges és igen hatékony védekezési módja az lehet, hogy folyamatosan pallérozzák elméjüket az egyre újabb social engineering (megtévesztésen alapuló) módszerekkel szemben.

18 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Cirrus 2011.02.28. 20:00:47

Én eddig az Acrobaton kívül csak a standard Linuxos PDF readereket használtam, és elég fapadosak, hogy finoman fogalmazzak.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.02.28. 20:23:46

Esetleg Evince? Az Linuxon kevésbé fapados, mint pl. Xpdf. Winre meg van Foxit, Sumatra, talán ezek a legismertebbek.

Amellett meg jól hátrakötném a sarkát és USB kulcsokra térdeltetném azt, aki kitalálta, hogy Javascript legyen egy PDF-ben :-)

spontan · http://erdekessegek.info 2011.02.28. 21:37:45

Melyik Adobe alternatív a legjobb Windows-on? A Foxit-ról hallottam, hogy elég jó. Valaki próbálta már?

kafferbivalybalamber 2011.02.28. 21:45:52

@spontan: Igen, elég sok gépen. Nincs rá panasz, működik.
Aki meg ilyen többszáz megás szörnyeket ír, ahhoz hogy egy nyamvadt pdf-et el lehessen olvasni, az eleve monnyon le.

Elstron 2011.02.28. 21:57:13

@Csizmazia István [Rambo]: Nekem pl. most pont jól jött a munkámban, automatikus nyomtatást máshogy nem lehet csinálni PDF-ben.

Cirrus 2011.02.28. 22:21:14

@Csizmazia István [Rambo]: Az Evince volt az egyik fapados. De azért a célnak megfelelt. Most nem Linuxozom.

Dr. Schwanzkopf Rudolf 2011.02.28. 22:22:05

@spontan: Foxit, gyors, kényelmes, kicsi, használd bátran.

spontan · http://erdekessegek.info 2011.02.28. 22:24:28

@Dr. Schwanzkopf Rudolf: feltettem, az adobe reader-t meg leszedtem

egyelőre jónak tűnik

énisfélek 2011.02.28. 22:51:16

Feltettem a Foxit-ot.
A tűzfalam szerint mindenáron fel akar csatlakozni valamilyen szerverre, ismeretlen célból. Emellett már a második pdf dokumentumot nem volt képes megjeleníteni (üres lap).
Van még más Adobe Reader helyettesítő?

Dr. Schwanzkopf Rudolf 2011.02.28. 23:18:57

@énisfélek: Frisíteni próbálja magát, lehet engedélyezni. PDF-megnyitás böngészőben: pipáld ki ezt: Tools-Preferences-Internet: Display PDF in browser.

Help-Check for updates now - a listáról érdemes a Firefox plugint feltenni (ha Firefoxot használsz)

énisfélek 2011.03.01. 00:57:08

@Dr. Schwanzkopf Rudolf:
Az installálás első pillanata: csatlakozási kísérlet a websearch.ask.com (66.235.120.94) szerverre. Ez tudtommal NEM a foxit szervere.
A telepítés végén egyből csatlakozni próbál a pis.foxitsoftware.com szerverre - na erről már elhiszem, hogy köze lehet a frissítéshez (habár nem kért rá engedélyt és nem is jelezte, hogy most frissíteni fog) ráadásul nem is találtam olyan opciót a beállításokban, ahol letilthatom az automatikus frissítéseket.

...egyébként jó a nicked :)

spontan · http://erdekessegek.info 2011.03.01. 09:41:17

A foxit-nál csak arra kell figyelni, hogy a Decline gombot válaszd installálásnál, hogy ne aktiválja az ask.com-os cuccokat.

Nem szimpatikus dolog, ha ilyet akarnak rám erőltetni, de ha az installálásnál kis odafigyeléssel elkerülhető, akkor ennyi még belefér.

bunkó · http://bunko.blog.hu 2011.03.02. 10:13:57

@spontan: Az ask.com-os trükközésen felül (kikapcsolásától függetlenül) a Foxit reader minden egyes pdf megnyitásakor két kedves kis adatcsomagot küld a 218.240.24.199-es IP-jű szerverre, amelyek az én aktuális tevékenységem adatait tartalmazzák (URL/megnyitott file/stb).
Mi ez, ha nem kémkedés?

Vagy ez csak nekem tűnt fel egyedül?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.03.02. 11:31:29

@Mindenki:

Linuxon a már említett Evince, Xpdf mellett az Okular is jó megoldás lehet, de természetesen rendelkezésre áll a linuxos Adobe is:
get.adobe.com/reader/?promoid=BUIGO
Ez még a színes, szagos, videós agyontrükközött pdf-eket is jól jeleníti meg.

Windowson pedig a Foxit és a Sumatra a legismertebb adobe pótló, ami nyilván nem tud mindent, csak sok mindent, Itt egy hosszú lista a készítő, editáló, megjelenítő proramokról a különböző platformokon.
secure.wikimedia.org/wikipedia/en/wiki/List_of_PDF_software

Droli · https://soundcloud.com/drolimusic 2011.03.02. 15:11:53

A Windowson bátran ajánlom a Sumatrát, kicsi és gyors program .A Linuxon nálam az Okular vált be.

OFF: hasonló rémtörténet a szövegszerkesztők világa is, ahol sok ember lazán feltelepít egy többszáz megás monstrumot (pl. Microsoft Office), hogy aztán néha írjon rajta egy levelet. Pedig van egy rakat ingyenes programocska a neten, amely erre a célra alkalmas, pl. mostanában az Abiwordöt használom erre. És az egy dolog, hogy "nem a méret a lényeg", de az Office is előkelő helyen szerepel a "hogyan kapjunk könnyen vírust" listán. Az a bajom ezekkel a programokkal, hogy a sok, az átlagfelhasználók által soha nem használt funkciók mellett egy rakat biztonsági kiskaput is ad.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2013.01.10. 11:59:20

A Foxit és a Sumatra már volt korábban, de ezen felül is van még Windowsos alternatíva a Nitro Reader képében, hátha valakinek éppen ez jön be.
www.nitroreader.com/
süti beállítások módosítása