News

Studierende finden in Datenschutz-Zusatzausbildung Sicherheitslücke in PDF

"Virus in PDF"

[09|09|2009]

Virus in PDF

Im Rahmen der (Datenschutz-Zusatzausbildung ) an der Hochschule München beschäftigten sich die Dozenten Prof. Dr. Rainer W. Gerling und Heidi Schuster sowie ca. zehn Studentinnen und Studenten mir praktischen Datenschutz- und IT-Sicherheitsproblemen im Praktikum „Datenschutz und Datensicherheit“ des Sommersemesters 2009. Ein Thema war die Sicherheit beim Umgang mit PDF-Dateien. Das Portable Dokument Format (PDF) von Adobe ist der de-facto-Standard zur Weitergabe von Dokumenten.

Kaum bekannt ist jedoch die Tatsache, dass man in PDF-Dateien beliebige andere Dateien einbetten kann. Damit hat eine PDF-Datei - neben den Möglichkeiten ein Dokument darzustellen – auch in etwa die gleichen Möglichkeiten wie eine ZIP-Datei: es können eine oder auch mehrere Dateien als Anhänge in die PDF-Datei eingebunden werden. Mit einem Dateimanager können die Dateien „ausgepackt“ und genutzt werden.

Eine Frage die aufkam und auch gleich praktisch getestet wurde, war das Einbetten von Viren in PDF-Dateien. Dies wurde dann mit dem EICAR-Testvirus ausprobiert. Man kann dies sowohl mit Adobe Acrobat, als auch mit Freeware Tools wie PDFbundle (http://www.coolpdf.com/pdfbundle.html ) bewerkstelligen.

Überraschend war der Umgang gängiger Virenscanner mit dem in die PDF-Datei eingebetteten Virus. Der Virus wurde erstaunlich häufig nicht gefunden! Während ein Virus in einer ZIP-Datei praktisch von allen Virenscannern gefunden wird, halten sich die Viren-Erkenner bei PDF-Dateien mit viraler Payload doch teilweise zurück.

Mit dem Dienst VirusTotal (http://www.virustotal.com/de/ ) waren schnell viele Virenscanner getestet. Die einzigen bekannteren Scanner, die den Testvirus in der PDF-Datei fanden, waren Bitdefender, ClamAV, GData, McAfee, nProtect und Sophos; bei 33 der 40 Scanner auf VirusTotal war einfach Fehlanzeige.

Hier muss dringend nachgebessert werden: Dateien innerhalb von PDF-Dateien müssen ausgepackt und gescannt werden. Sonst entfällt die erste Verteidigungslinie gegen Viren auf dem Mailserver oder dem http-Proxy.
Erst wenn die virale Payload auf dem Desktop-Rechner ausgepackt wird, spricht der örtliche Virenscanner beim Scannen des Schreibzugriffs auf den lokalen Datenträger an.


Prof. Dr. Rainer W. Gerling